SIKKERHET

Bedriftene må se på IT-sikkerhet som en investering i stedet for en kostnad

Bedriftene som har investert i IT-sikkerhet før angrepet rammer, kan få en ROI eller avkastningsgrad på flere tusen prosent når IT-svindlerne slår til.

IT-sikkerhet er ikke lenger bare et spørsmål om IT, men et spørsmål om forretninger, mener Dennie Karlsson i Dustin.
IT-sikkerhet er ikke lenger bare et spørsmål om IT, men et spørsmål om forretninger, mener Dennie Karlsson i Dustin. Foto: Pressebilde
Dennie Karlsson, group CISO i Dustin
29. jan. 2024 - 12:30

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

I dag er det mange flere og langt mer alvorlige ransomware-angrep mot bedrifter enn noensinne. Dette er en type angrep der hackere trenger seg inn i en organisasjons IT-system, overtar kontrollen, låser alle datamaskinene og stjeler sensitiv informasjon. For å få tilbake nøkkelen og informasjonen, må organisasjonen betale løsepenger.

Bakmennene krever stadig mer i løsepenger ved slike ransomware-angrep, gjerne flere millioner kroner. Og dette kommer i tillegg til de økonomiske skadene som bedriften da allerede har lidd i form av driftsavbrudd og andre merkostnader. Det er faktisk flere bedrifter som har gått dukken på grunn av et ransomware-angrep.

Ikke om, men når

Likevel er det altfor få bedrifter som investerer i IT-sikkerhet. Mange ser det som et dyrt og nødvendig onde, eller mener at IT-avdelingens eneste oppgave er å forhindre at medarbeidere og utenforstående gjør en feil og ødelegger noe for bedriften. Så det er på høy tid å tenke nytt. 

IT-sikkerhet er ikke lenger bare et spørsmål om IT, men et spørsmål om forretninger. Bedriftsledelsen må innse at bedriftene er sårbare og forstå hvilke konsekvenser det vil få om de ikke investerer skikkelig i IT-sikkerheten. For spørsmålet er ikke om bedriften blir rammet av et angrep, men når. Bedriftene som har investert i IT-sikkerhet før angrepet rammer, kan få en ROI eller avkastningsgrad på flere tusen prosent når IT-svindlerne slår til. 

Først identifisere, deretter beskytte

Så hvordan investerer man i IT-sikkerhet? Først og fremst må man identifisere hvilke verdifulle data bedriften har og hvordan man skal beskytte dem. Man bør også se på hvilke mangler og utfordringer som finnes. Videre bør alle bedrifter spørre seg hva det ville bety for virksomheten hvis IT-systemet deres lå nede en stund. Hvor lenge vil man klare seg uten IT? Hvilke risikoer er man villige til å ta? Det er viktig at bedriftene er klar over hvilke risikoer som foreligger, slik at de kan treffe bevisste beslutninger.

Det handler altså ikke først og fremst om å forsøke å unngå et IT-angrep ved å minimere risikoeksponeringen, men om å flytte fokuset til gjenoppretting og begrense virkningene av en hendelse når den først oppstår. Det må være en felles forståelse for at sikkerhet og forretninger henger sammen. IT-sikkerhet må inkluderes når ledelsen skal treffe strategiske beslutninger, og den bør være en selvsagt del av forretningsmodellen – i tråd med mottoet «security is business».

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.