Skip to main content
Artikel

Säkerhet - en förutsättning för din verksamhet

Sektioner

enfo-web

Text

Verksamhetens förväntningar på motståndskraft mot störningar ställer nya säkerhetsmässiga krav
 

År 2020 ställdes både medborgare och företag på prov och många fick snabbt anpassa sig till en ny, mer digital verklighet när samhällen stängdes ned. För många innebar omställningarna en ökad sårbarhet som resulterat i ett markant ökat antal cyberattacker – ofta på grund av att verksamheten inte haft rätt fokus och mandat kring säkerhetsarbetet.

Den digitala mognaden i företag och organisationer ställdes verkligen på prov och de verksamheter som skulle kunna fortsätta tillhandahålla sina tjänster fick snabbt ställa om för att hitta nya leveransmetoder –
internt såväl som externt.

Den pandemi som vi fortfarande befinner oss mitt uppe i har inneburit att verksamheter tvingats påskynda införandet av digitala metoder och processer, inte alltid med en klar bild över de ökade sårbarheter som detta har inneburit. Antalet cyberrelaterade och lyckade attacker på företag och organisationer har ökat markant. I flera fall kan det konstateras att orsaken varit att verksamheten inte haft rätt fokus och mandat kring strategisk, taktisk och operativ säkerhet.
 

Säkerhet behöver genomsyra alla delar av företagets verksamhet där medarbetarnas kunskap och riskmedvetenhet är av stor betydelse
 

Antalet företag och organisationer som faller offer för cyberkriminella element ökar alltså kraftigt och effekterna är i många fall både att känslig data exponeras och att man lider ekonomisk skada. I en hel del fall innebär det att organisationen inte längre kan återuppta sin verksamhet. Vi har flera exempel där små och medelstora företag tvingas upphöra med sin verksamhet efter effekterna av ett cyberangrepp.
 

Det fanns en tid när det var IT-avdelningens ansvar att tillse att företaget hade ett adekvat skydd mot sin omgivning. Det var på den tiden också tämligen enkelt att definiera en organisations yttre barriär – dvs där företaget kopplade sig mot sin omgivning. Allt inne i den bubblan var ”IT-säkerhet” och ansvarades för av IT-organisationen. Idag vet vi att det inte ser ut så, vi är på ett sätt som gör att det är praktiskt taget omöjligt i de flesta verksamheter att definiera ’det yttre skalet’ och det som IT är tänkt att försvara. Data och information flödar i allt snabbare takt inom och mellan organisationer och det ställer nya krav på hur man uppnår en lämplig nivå på säkerhet. 
 

Vi behöver i sammanhanget skriva avtal och förlita oss på att de leverantörer som vi använder tillämpar adekvata säkerhetsmetoder för att försvara vår data eller våra applikationer som körs som infrastruktur, plattform eller tjänst i molnet.

  

Att veta eller ta reda på den hotbild som finns runt omkring är kritiskt men hur ska företag arbeta med att prioritera skydd för det som är viktigast i en organisation?
 

Vi behöver nu förutom det traditionella arbetet med att exempelvis klassa dataobjekt och härdning av system också definiera krav på hur våra informationsobjekt ska hanteras – alldeles oavsett om de transporteras, bearbetas eller lagras inom eller utanför företagets interna miljö.
 

Definiera affärskritisk information

Den viktigaste frågan för alla verksamheter, oavsett om det är privat-, kommunal- eller statlig verksamhet är att definiera vilken information som är mest skyddsvärd och kritisk för dess överlevnad som organisation. Först när det finns en klar bild över detta kan man ta fram hur dessa objekt ska försvaras. Ansvaret måste vara tydligt.
 

"Det strategiska och taktiska säkerhetsarbetet i företag och organisationer behöver förändras. Det måste bli en del av företagets kontinuitets- och återställningsplaner och underställas verksamhetens ledningsgrupp. Det är dess högsta ledning som kan och ska definiera kravställan kring de säkerhetsmässiga nivåer som företaget eller organisationen ska upprätthålla " säger Hans Sjöberg, senior rådgivare informationssäkerhet.

 

Krav på tekniska leverantörer

"Förutom ett tydligt ägarskap måste krav ställas och efterlevas tekniskt. De tekniska leveranserna inom säkerhet, såsom plattformar för säkerhet, sårbarhetsscanning och penetrationstest, ska ses som evidensen för att säkerhetsarbetet totalt sätt levererar mot de fastställda krav som angetts" menar Jens Howander manager cybersecurity på Enfo.
 

Det blir då möjligt att genomföra periodiska audits och assessments för att validera att arbetet genomförs i enlighet med ramverkets definitioner, samt omvänt att styrdokumenten uppdateras för att hela tiden stödja affärsverksamhetens krav och den digitala utvecklingen.
 

Hur ska företag och organisationer tänka och arbeta för att etablera en hög säkerhetsmognad och en relevant motståndskraft mot säkerhetshändelser?
 

För att kunna verka tydligt och med kraft säkra verksamhetens motståndskraft bör det strategiska och taktiska säkerhetsarbetet organiseras att ligga nära den operativa verksamhetsledningen.. Det strukturella säkerhetsarbetet ska fokusera på att ange de krav som verksamheten ställer och tillse att rätt del av organisationen ges mandat och rätt förutsättningar att säkra dessa kontroller.
 

Det är det proaktiva och prediktiva säkerhetsarbetet som ska minska riskerna för att en verksamhet ska påverkas av cyberangrepp. Att organisera detta inom ramen för företagets operativa verksamhetsledning och som del av verksamhetens koninuitetsarbete är helt avgörande för den motståndskraft som verksamheten kan bygga.
 

Jens Howander
Manager Cybersecurity
jens.howander@enfogroup.com
LinkedIn

Hans Sjöberg
Senior consultant
hans.sjoberg@enfogroup.com
LinkedIn

Artikeln publicerades tidigare i Göteborgsposten den 20 januari 2021.

Dela