Infosecurity, København. Det er de som er ansvarlig for IT-sikkerhetens sin egen skyld hvis de føler at de ikke blir hørt hos toppledelsen når det gjelder hvor viktig sikkerhetsarbeidet er. For de snakker altfor ofte med uforståelig terminologi som en bedriftsorientert leder ikke forstår.
Det sa Kenneth Schwartz Thorkelin, som er Concept Manager hos Axcess, på IT-sikkerhetskonferansen Infosecurity, som ble avholdt i forrige uke i Øksnehallen i København forrige uke.
– Som sikkerhetsfolk har vi et ganske stort medansvar for at lederne mister både tråden og interessen. For vi kaster jo selv rundt oss med mengder av fagterminologi, som for eksempel compliance. Akkurat nå er det GDPR (personvernforordningen) som vi bruker for å få oppmerksomhet, sa Kenneth Schwartz Thorkelin på Infosecurity.
Han understreket poenget sitt med å vise en grafikk over det typiske fokuset til en toppleder: vekst, strategi, visjoner og forretning. Altså vanligvis ingen ting som har med sikkerhet å gjøre.
Men det IT-sikkerhetsfolkene kommer drassende med, er Security Incident Reports med uforståelige oversikter over angrep. Og disse rapportene forstår 90 prosent av topplederne ikke, ifølge en undersøkelse fra Goldsmiths Survey.
– Når vi kommer med IT-sikkerhetsrapportene våre, har de problemer med å forstå dem – det er svært detaljert informasjon som er vanskelig å ta stilling til, sa han.
Feil presentasjon, ingen penger
Klarer man ikke å snakke språket til en toppleder, risikerer man at et ustabilt wifi i kantina i toppsjefens univers, får større oppmerksomhet enn investeringen i bedret IT-sikkerhet.
Det skyldes ofte at lederen for IT-sikkerhet snakker feil språk til lederen:
– Problemet er at sikkerhet ikke alltid er håndgripelig – i motsetning til wifi-dekningen i kantina, sia han. – Vi kommer tvert imot med en løsning som gjør toppsjefens daglige jobb mer krevende, og dermed er det klart at det er vanskelig å få penger til det. Vi er nødt til å forklare dette slik at det kan forstås, sa Kenneth Schwartz Thorkelin.
Lag en business-case
Rådet hans er dels å stille hos toppledelsen med langt mer konkrete oversikter over hvilken IT-sikkerhetsmessig situasjon bedriften er i, for eksempel med antall hendelser per uke, hvor mange verter som er rammet, og risikoen for bedriften.
Dessuten bør man – hvis man vil ha penger – stille med en business-case:
– Si til ledelsen din at hvis vi ikke kjøper dette, risikerer vi at ERP-systemet, filserveren eller CRM-systemet vårt går ned, sa Schwartz Thorkelin.
Og legg ved en oversikt som viser at et angrep som kan føre til et sammenbrudd med en varighet på en ettermiddag, vil koste bedriften for eksempel en kvart million, mens ny programvare vil koste 75 000 kroner.
Akkurat det samme rådet kom i et innlegg fra IT-sjefen i Lyngby-Taarbæk Kommune i Danmark, Mikkel Arp:
– Spørsmålet fra ledelsen er alltid om det koster penger. Men ofte er det dyrere å la være, og det er et godt argument, sa han og bekreftet at det er viktig å sikre seg støtte fra toppen når det gjelder innsatsen for IT-sikkerhet:
– Vi jobber beinhardt for å få ledelsens støtte og fokus. Har vi ikke den støtten, skjer det ikke noe.
På den andre siden skal ledelsen også stille krav til den IT-sikkerhetsansvarlige om å oversette hendelsesrapporter til noe som de bedriftsansvarlige kan forstå.
Eksempler på dette er om det markedet eller de områdene som man opererer på er spesielt rammet, om man bruker best practices-sikkerhet, eller om alt er internt lagd, om USB-lagerenheter er tillatt, og hvordan det aktuelle trusselbildet er, og om det skal gjennomføres ekstra tiltak.