I global skala er IT-sikkerhet noe av det viktigste å tenke på
Dette bør bedriften din være klar over.
Siden den første kommersielle datamaskinen ble introdusert av Lyons Electronic Office, og ble starten på en revolusjon som startet med forenkling av rutinemessige oppgaver som lønn og registrering av varer inn og ut av lager, har vår avhengighet av moderne IT-systemer oftere også demonstrert hvor sårbare samfunnet er når ting går feil.
Vår digitale reise, som startet i 1951, har har på syv raske tiår skapt en avhengighet der vi i vår hverdag knapt kan se noen områder som ikke påvirkes av datateknologi. Vi ser heller ikke datamaskiner som frittstående enheter - nå er vi alle sammenvevd og pålogget diverse nettverk til enhver tid. Våre telefoner har mer kraft enn vi kunne drømme om på en arbeidsmaskin for bare noen få år siden. Selv klokka, stekeovnen, vaskemaskinen, bilen og alle de andre smarte enhetene vi bruker til trivielle hverdagsting, henger sammen. De jobber sammen og gjør oss avhengige av at ting bare skal virke. Noen sekunders ventetid, og vi opplever stress og små hverdagskriser.
– Den raske digitaliseringen har skapt store rom for virkelige kriser. Kriser som enkelt setter din og min jobb i fare og i ytterste konsekvens spiller russisk rullet med våre liv, sier Roger Ison-Haug, administrerende direktør hos Pedab Norge.
Veksten i vår digitalisering har ført til store kompetansehull i organisasjoners bevissthet om cybersikkerhet. Ledere har bommet på egen og organisasjonens kompetanseheving når det kommer til bevisstgjøring av den enkeltes ansvar, og heller ikke gjort sine organisasjoner bevisste, når det gjelder cybersikkerhet. Dette er ansvaret til daglig leder og styreledere - og ansvaret kan på ingen måte delegeres. Jobben kan noen andre gjøre, men den som må ta ansvaret, er sjefen.
Når katta er borte, danser musene på bordet
Roger Ison-Haug viser til at over 90% av ledere er ikke forberedt på hvordan de skal håndtere et cyberangrep, og evner ikke selv å fullt ut forstå cybersikkerhetsrapporter. 40% av lederne mener de ikke er ansvarlige for konsekvensene av et cyberangrep.
Denne mangel på kompetanse om eget ansvar, og ikke minst mangel på planlegging av hvordan agere når ting går galt, er med på å skape store hull i organisasjoners bevissthet rundt cybersikkerhet. Disse hullene har gjort organisasjoner til rene Jarlsberg-oster, fulle av åpninger som gjør det mulig og enkelt for trusselaktører å bryte seg inn. Vi snakker ikke bare om den vanlige cyberkriminelle, men nasjonale stater, som har tid, penger, kapasitet og som kjenner til våre sårbarheter.
– I Pedab har vi et stort team med eksperter som hver dag jobber med forretningsrisiko. Vi ser at det mangler fokus på adressering av potensialet for cybertrusler i vår daglige digitale omgang med andre. Det må et kompetanseløft på områder som cybertrusler, cyberrisiko og virksomhetsrisiko, sier Roger Ison-Haug.
Ikke nok med antivirus
Når alt er sammenkoblet, og vi forventer at alle systemer responderer og samhandler til enhver tid, er det helt avgjørende at de med kompetanse hjelper de lederne som mangler dette. De fleste er enige at man investerer og moderniserer IT for å forbli konkurransedyktige. Men når det gjelder informasjonssikkerhet, ser det ut som om de fleste tror at det å ha antivirus og en brannmur betyr sikkerhet. Det er en start, men det har også vist seg å ikke være nok. En leder i Symantec uttalte for noen år siden at antivirus er død.
– Vi må si at den tankegangen som har vært gjeldende for å sikre våre digitale verdier, bør få aktiv dødshjelp.
Lønnsomheten, eller vår konkurransekraft, er avhengig av effektiviteten i en organisasjons prosesser og rutiner. IT skulle gi ledere de verktøyene som er nødvendige for å optimalisere kritiske forretningsprosesser, noe som gir bedre fortjeneste over tid og større tilgjengelighet til informasjon.
Trengs mer bevissthet
Mens det investeres i informasjonsinfrastruktur, der det er effektivt for å optimalisere forretningsprosesser, og å imøtekomme kundenes etterspørsel, er ikke bevisstheten særlig stor for de digitale farer man får med. Dette setter ikke bare bedriftens levedyktighet på spill, men også våre data i fare.
– Husker du hva som skjedde med Hertz i Norge for noen få uker siden, eller hva som skjedde med alle våre helsedata - her i Norge i vinter? Hukommelsen er dessverre noe slapp, men jeg er sikker på at eierne av Yahoo husker sitt tap på over 300 millioner dollar – som de tapte på å ikke ha en god strategi på å sikker data og ikke minst det å være åpne og ærlige om at de faktisk hadde lekket samtlige av sine kunders data.
– Selskaper som har en gjennomtenkt cybersikkerhetsagenda fremstår som proffe, selv om de taper store verdier ved cyberangrep, slik som med hendelsen hos Maersk i fjor, sier Roger Ison-Haug.
Sammen med noen få men fokuserte partnere jobber Roger Ison-Haug og Pedabs cybersecurity-avdeling med kunder i hele Europa for å løfte bevissthet om viktighet av å sikre digitale verdier.
– Det er ingen revolusjon - men en planmessig og vel fundamentert strategi for å hjelpe ledere, utviklere og de med delegerte oppgaver, for å hjelpe deg som sitter med ansvaret. Vi overvåker, varsler og hjelper når det går galt. Våre europeiske kunder har drift over hele verden, og vi støtter de også 24/7, forteller Roger Ison-Haug.
Han viser til tre fokusområder Pedab jobber med når de utarbeider en agenda for sikkerhet:
- Forretningsrisiko, der vi sammen ser på muligheten for direkte eller indirekte tap, som skyldes feil i viktige forretningssystemer, prosesser, prosedyrer eller hos personer.
- Omdømme, med fokus på potensialet for tap eller skade, som skyldes skade forårsaket av organisasjonens omdømme eller offentlige image.
- Juridisk og samsvarsrisiko og potensiale for tap eller skade, som skyldes at rettslige skritt blir tatt mot en organisasjon for å bryte lov eller forskrifter. Noe som gjelder for fullt med økende kraft når GDPR er en realitet.