Jeg skal ikke si at alt man kjøper via Temu er skrot. Men sjansen for å finne høykvalitetsvarer så billig, er muligens på lik linje med å finne gull i enden av regnbuen.
Skal du ha et tonn med regnfrakker for engangsbruk, er det sikkert kvantitet og pris som gjelder. Skal man derimot være med på et krevende seilas, ville du sannsynligvis gått inn i Helly Hansen-butikken og kjøpt noe som er skreddersydd for vær, vind og vannsøyler.
Varm i kinnene?
Det jeg førsøker å illustrere, er at du gjør ikke noe galt så lenge de riktige vurderingene er tatt i forkant av anskaffelsen. Vi som jobber i den kommersielle bransjen, som konkurrerer om anbudene, forespørslene og lignende, er gode til å besvare de spørsmålene som stilles på en lik måte. Da blir det vanskelig å skille mellom leveransene, der avgjørelsene oftere og oftere avgjøres på pris, selv om det er et hav og avstand på kvaliteten de beste og dårligste tilbyr. Vi snakker ikke om epler mot epler, men kanskje bananer eller tyttebær.
Starter styrenettverk for tech-kvinner: – Denne kompetansen vil alle ha nå
Strengere krav
Nå er både et nytt cybersikkerhetsdirektiv (NIS2) og ny sikkerhetslov på trappene. Dette kommer til å stille langt strengere krav til investeringene. De må holde høy kvalitet og være motstandsdyktige når truslene hamrer på og virksomheten blir kompromittert. Lovene kommer for å styrke sikkerheten i landet. Men jeg ser dessverre at mange anskaffelser handler om å krysse av i boksen for at noe er gjort, fremfor at dette gjøres for å optimalisere sikkerheten.
Enormt spenn
Penetrasjonstesting innebærer å simulere angrep på kundens systemer, nettverk eller applikasjoner for å identifisere svakheter og sårbarheter før en ekte angriper gjør det. Jeg trekker fram dette som et konkret eksempel fordi det er et enormt spenn i virksomheter som tilbyr et tilsynelatende likt produkt. Men kvaliteten er ulik og strekker seg fra automatiserte skript til etiske hackere med gode verktøy som tilbyr samme jobben.
Vasker du bilen for hånd, renser lakken og polerer den selv, får du et bedre resultat enn å kjøre den samme vasken i en automatisk vaskehall i ti minutter. Slik er det med penetrasjonstester også.
Forfatter: Dette er feilene som får sjefen til å gi opp en jobbsøker
Huker av boksen
Jeg deltok i en diskusjon med en større gruppe sikkerhetseksperter fra både offentlig og privat sektor forrige dagen. De mente at det var tre av fire som bestilte en penetrasjonstest for å krysse av i boksen for at dette var blitt gjort. Ikke for faktisk å bruke testen til å forbedre sikkerheten.
Det var dette som fikk meg til å skrive denne kronikken. For selv om jeg lever av å selge IT-sikkerhet, ble jeg livredd. Hva skjer nå? Er de kommende lovene med på å få flere til å jukse i klassen?
Dette er øverst på listen
I Atea har vi utført mange hundre modenhetsanalyser. Dette er en revisjon der vi vurderer virksomhetenes teknisk og organisatoriske tilstand sett opp mot grunnprinsippene til Nasjonal sikkerhetsmyndighet. Deretter brukes resultatene til å gjøre tiltak. Vi har akkurat laget en internrapport der vi har anonymisert svarene og sammenlignet hva norske virksomheter rangerer høyest.
Her kom penetrasjonstest øverst på pallen, etterfulgt av spesialistene som håndterer hendelser og digitale vektertjenester med overvåking og respons.
Alle disse tjenestene krever høy kompetanse få har. De er kostbare, og akkurat som med bilvasken: Du får det du betaler for.
Jubler over Microsoft-grep: – Får en vanvittig effekt for e-postsikkerheten
Dobbeltsjekk hva du får
Jobb smart, få inn flere tilbud. De dyreste vil som oftest være de som inkluderer flest tilgjengelige ressurser og høyest kompetanse. De rimeligste vil være automatiserte verktøy som gjør en etterligning av det de profesjonelle gjør.
Det man bør gjøre, er å ta bort de dyreste og de rimeligste og sjekke de som ligger nært hverandre i pris i øvre sjikt.
Gjennomfør så en samtale med disse tilbyderne sammen med eksterne eksperter – og spør etter referanser og garanti for at det er den kompetansen man selger inn i tilbudet, som faktisk er de som utfører jobben, før du avgjør hvilket tilbud du går for.
Mitt beste tips
Besitter din virksomhet fagkompetanse nok til å vekte tilbydernes løsninger opp mot hverandre? Om ikke, lei inn uhildede rådgivere som kan bistå i prosessen. Dette er den eneste måten du kan skille klinten fra hveten.
Om du derimot ikke bryr deg om kvaliteten og bare vil huke av i boksen, har NIS2, sikkerhetsloven, NSMs grunnprinsipper og alle andre tiltak for å gjøre verden til et tryggere digitalt sted å leve, tapt i utgangspunktet.
Er forvaltning av data det første du tenker på om morgenen?
