Ledelse

Åpent brev til «Sjefen»

Hva du som sjef må vite om cyber- og informasjonssikkerhet.

Roar Sundseth

Publisert fredag 26. juni 2015 - 03:00 Sist oppdatert onsdag 20. april 2022 - 14:38

Hva kan være mer viktig for deg og din virksomhet enn data? Enten det er kundeinformasjon eller bedriftens intellektuelle kapital så er det organisasjonens livsnerve vi her snakker om. Dessverre så er nok ikke du og de fleste andre sjefer klar over at dere derfor må gi prioritet til å beskytte disse dataene.

Som tidligere leder i Forsvaret forstår jeg at sikkerhet, i den betydningen av ordet jeg snakker om her, kan havne i baksetet i forhold til andre prioriteter. Jeg vet at du skal lede organisasjonen mot høyest mulig fortjeneste og suksess, uten å bli forstyrret av tekniske detaljer. Men som leder i Forsvaret gjennom over 40 år og nå som cybersikkerhetsrådgiver, har jeg opplevd mange ganger de negative konsekvensene av at risiko blir ignorert. Selvfølgelig kan ikke du som sjef løse ett hvert cybersikkerhetsproblem. Som med mye annet, det å beskytte dine viktigste data er en balansegang i forhold til kostnader og organisasjonens effektivitet.

Du er sårbar for cyberangrep fordi alle er sårbare for denne typen angrep.

Det jeg ønsker å gi deg i dette brevet er en begrunnelse for hvorfor du må bry deg om cybersikkerhet og hvordan du kan utøve det lederskapet som må til for å bygge en bedre sikkerhetskultur i din organisasjon. Hvorvidt du lykkes med det kan faktisk være avgjørende for om organisasjonen du leder klarer å overleve i vår digitaliserte og nettverksbaserte verden.

Cybersikkerhet er et tema som må på agendaen i styrerommet

Bruk et minutt på å tenke gjennom hvilke data som er styrende for hvordan du driver forretninger; gjennombrudd i egen forskning og utviklings-aktivitet som vil kunne gi dere et fortrinn i forhold til konkurrentene. Konstruksjonstegningene til nye produkter, data som blir brukt i kontraktsforhandlinger, markedsføringsplaner, kundelister og ikke minst kundeinformasjon som dere bruker i kundepleien.

Når du lytter til IT-driftssjefen, eller den sikkerhetsansvarlige som gjerne snakker i merkelige forkortelser og uforståelige ord og uttrykk, kan det være lett for deg å avfeie det meste av det de sier som tekniske detaljer som ikke er noe du skal bruke din verdifulle tid på.

Men hvis du ignorerer cybersikkerhet, vil du få lære en lekse på den harde måten. Som mange før deg, hvis du ikke adresserer cybersikkerhet i styrerommet, vil du måtte gjøre det i årsrapporten, eller enda verre i nyhetsmediene. Hvis en virksomhet feiler i oppgaven med å fastsette og gjennomføre et cybersikkerhetsprogram, eller gjør det for lemfeldig og det igjen resulterer i en kompromittering som så blir offentlig, kan virksomheten i neste omgang oppleve å bli skydd av kunder, partnere og myndigheter.

Cyber- og informasjonssikkerhet er ikke bare et spørsmål om teknologi, det må være en del av alle organisasjoner kjernevirksomhet.

Hvordan skal du så få dette inn på agendaen til styret? Hvordan skal du formulere deg?

For det første; du har et ansvar for å søke informasjon hos teknologene (IT) i organisasjonen din om hvordan data blir sikret, hvilke mekanismer som finnes for å overvåke datasystemene med tanke på å oppdage angrep og hvilke planer som finnes for hendelseshåndteringen ved angrep.

Du har som sjef et ansvar for å forstå hvilke data dere eier, hvor de største risikoene er og hva dere gjør for å beskytte dem.

Gir du blaffen i sikkerhet vil det koste deg dyrt

Datakompromitteringer koster virksomheter millioner av kroner hvert år i form av etterforskning og ikke minst reparasjonskostnader etterpå. Men den største kostnaden du vil få er også den som er vanskeligst å måle. Omdømme er fundamentet ditt for å kunne bygge og utvikle firmaet videre. Redusert egenkapital i form av både tapte penger og dårligere omdømme på grunn av slette sikkerhetsrutiner er kanskje den største risikoen av alle. Sjefer som ignorerer sikkerheten gambler ikke bare med virksomhetens gode navn og rykte, de går også glipp av muligheten til stikke seg ut i positiv forstand fra resten av konkurrentene.

Annonse

Hackere kommer i forskjellige former og med ulike motivasjoner

Mange sjefer tror at de usynlige hackere som IT Driftsavdelingen advarer dere om, bare er et middel de bruker i den evige budsjettkampen. Sannheten er at disse hackerne i høyeste grad er nærværende. Alle statistikker viser at hackere fra utsiden utgjør den største gruppen som gjennomfører cyberangrep. Hvem er så disse hackerne? Det er veldig mange «flinke» kriminelle der ute i det digitale rommet som 24/7 ser etter muligheter for å tjene penger på å selge dine kundedata og firmaets intellektuelle kapital. For å kunne tilfredsstille sitt behov for raske gevinster er de i stand til å omgjøre nesten all informasjon de klarer å stjele til penger i et svart økonomi som belønner tyvene for deres digitale innbrudd.

Datatyveri er ikke alltid et spørsmål om å gjøre raske penger. Noen hackere er mindre interessert i å profitere på ditt firmas finansielle transaksjoner, men mer opptatt av å få tak i firmaets intellektuelle verdier. Industrispionasje er høyst tilstede i vår digitale og nettverksbaserte verden, hvor hackere sikter seg inn mot å skaffe seg opplysninger om nye prototyper, modeller, produksjonsplaner og til og med forventede salgspriser, siden den informasjonen vil være veldig nyttig å få tak i for våre konkurrenter. Auksjonene foregår hele tiden på ”the dark net”.

Vi ser også nå en annen type hackere som vokser i antall – hacktivistene. Heller enn å gjøre raske penger er de ute etter å markere sitt syn på saker av politisk og samfunnsmessig betydning og de kan neste gang bruke din virksomhet for å få sitt syn fram i offentligheten. En hackergruppe som Anonymous er et typisk eksempel på denne aktiviteten.

Antallet angrepsflater fortsetter å øke

Det verste med sikkerhetsrisikoer i dag er hos bedrifter og organisasjoner som fullstendig ignorerer cybersikkerheten og som allerede kan være kompromittert uten at de vet det. Den moderne hacker av i dag vil ikke ønske å skape noe styr i forbindelse med at han angriper ditt datasystem. De ønsker å kunne angripe i det skjulte og stjele så mye informasjon som mulig, uten at du vet det.

Det finnes mange typer av skadevare der ute i cyberrommet. Noen er bygget slik at de kaster ut et vidt nett på Internett for å finne sårbarheter. Andre skadevarer er svært målrettede. Uansett så kan kriminelle være inne i og ute igjen av ditt system, uten at du har en anelse om at de i det hele tatt har vært der.

De angriper ikke bare ditt Microsoft operativsystem. De går i større grad etter hvilken som helst web-baserte applikasjon som du selv bruker for å øke din og firmaets effektivitet.

Det er all grunn til å hevde at viritualisering, sky-tjenester og mobile tilknytninger har revolusjonert den måten IT-driftsavdelingen din leverer tjenester på til alle avdelinger i virksomheten.

Men saken er at viritualiseringen, skytjenestene og de mobile tjenester du og firmaet benytter dere av også introduserer en myriade av sikkerhetsutfordringer som mange sjefer ikke er klar over.

Etterlevelse (Compliance) er ikke det samme som sikkerhet

Dessverre så er det grunn til å tro at de fleste sjefer ikke tenker på sikkerhet utover behovet for å etterleve de statlige og bedriftsinterne reguleringer som måtte finnes for deres forretningsområde.

Men etterlevelse som en driver for tilfredsstillende cybersikkerhet er et dobbel-egget sverd Det har definitivt hjulpet på for å få økt sjefenes oppmerksomhet rundt sikkerhetsspørsmål. Men samtidig har det fått flere av dere til å sette likhetstegn mellom regler for etterlevelse med helhetlig cybersikkerhet. Du bør heller som sjef skille mellom etterlevelse og sikkerhet, både for deg selv og de ansatte. Sørg for at du møter etterlevelses reguleringene, men samtidig må du forsikre deg om at cybersikkerheten er best mulig.

Annonse

Balanser behovet for sikkerhet med behovet for produktivitet

En verden befolket at kontorarbeidere lenket til skrivebordene sine er historie. Framveksten av mobile apparater og applikasjoner i bedriften din har fullstendig endret måten dere arbeider på.

Men denne muligheten til å arbeide mobilt har gitt dere flere alvorlige sikkerhetsutfordringer. Bare se på hvordan dine medarbeidere er utrustet med og jobber på nettbrett og smarttelefoner. Mange av disse apparatene eies ikke en gang av bedriften din og allikevel laster dine medarbeidere ned et utall megabytes av verdifulle forretningsdata mens de bruker dem. Bare dette faktum bør fortelle deg at dine verdifulle forretningsdata forlater den relative sikkerheten i firmaets datasystem til noe som er fullstendig ubeskyttet. Forretningens intellektuelle verdier flyter der ut i cyberrommet, ukontrollert og på både nåværende og tidligere ansatte sine apparater. Når du skal styre din IT-driftsavdeling, tenk nøye gjennom følgende; når er det nødvendig at firmaet og medarbeidernes behov for fleksibilitet skal overstyre sikkerhetsforhold og ikke minst når skal sikkerheten overtrumfe behovet for mobilitet og fleksibilitet. Til dette trenger du en rollebasert adgangs regulering til forretningsdata og ikke minst må du ha de riktige verktøyene for å kunne etterprøve at sikkerhetsbestemmelsene blir fulgt opp av alle ansatte.

Sikkerhet er ikke bare et teknisk problem – så langt der i fra

Alle sjefer, sikkert også du, har skjønt at for å være suksessfull må man la medarbeiderne ha en nødvendig grad av handlefrihet i hvordan jobben utføres. Du kan ikke være verdensmester på alt innenfor butikken. Det er jo nettopp derfor du har en stab av kompetente medarbeidere.

Men du må jo overvåke og og lede for å forsikre deg om at de opererer innenfor det du har satt av forretningsprioriteter. Det er også det du må gjøre når det gjelder beslutninger på cybersikkerhets-området, akkurat som for de andre kjerneprosessene i firmaet.

Hvis din organisasjon skal ha kontroll på risiko og ikke minst utvikle en god sikkerhetskultur, må du og din ledergruppe stille de riktige spørsmålene til dine teknologer i IT-avdelingen, for å få det sanne bildet av sikkerhetssituasjonen i firmaet. Tenk igjennom hva som er dine topp fem prioriteter for organisasjonen og få IT-drift til å fortelle deg om de gode og dårlige sidene i forhold til hvordan organisasjonen i dag beskytter de viktigste dataene i firmaet og hvordan de holder oversikt over hvor dataene lagres, hvilke trusler dere står ovenfor og ikke minst, hvordan måles graden av beskyttelse.

En av utfordringene du vil møte er at når du jobber med teknologer så vil noen av dem være så frelst på enkelte teknologier at de glemmer de overordnede målsettinger dere har. Hvis du tror at anti-virus programvaren dere har vil beskytte deres data 100%, tro om igjen.

Som sjef så vet du at det ikke finnes et enkelt produkt som kan løse et komplekst forretningsproblem. Det samme gjelder i forhold til utfordringer i cyberrommet.

Hver gang du har en samtale med din IT driftssjef eller IT-sikkerhetsansvarlig om sikkerhetsutfordringer og han foreslår kjøp av en bestemt teknologi som løsningen på alt, gi han et spark bak. Etterpå kan du spørre han eller henne; hva med endring av rutiner, prosess og de andre tingene som alltid må være med hvis teknologien skal fungere?

Sjefens rolle i forhold til sikkerhet

Sikkerhet kan ha en avgjørende effekt på din organisasjons bunnlinje og derfor må du utvise lederskap i forhold til sikkerhetsområdet.

Den eneste måten å få medarbeiderne til å fokusere på og prioritere informasjons- og cybersikkerhet internt i bedriften er ved at du går foran og viser støtte til dette arbeidet. Hvis du ikke gjør det vil du ha null sjanse til å oppnå god sikkerhet i din organisasjon.

Ved å innføre noen grunnleggende sikkerhetsrutiner, vil du være i stand til å tilpasse og forsvare deg mot cybertrusselen – ett mangehodet troll i stadig utvikling.

Du må endre måten å tenke på: Sikkerhet er ikke lenger et ansvar for IT-nerdene på IT Drift. Du og ditt styre vil bli holdt ansvarlige når bedriften blir kompromittert, så involver deg i beslutninger på dette området, først som sist.
Ha en plan: Organisasjoner blir ikke sikre ved en tilfeldighet og reguleringer er ikke nok til å sikre suksess alene. Du må ganske enkelt innse at du ikke kan løse ett hvert problem. Derfor må du, sammen med din ledergruppe, jobbe sammen med teknologene for å kartlegge nå-tilstand på sikkerhet og med den som grunnlag, lage og iverksette et sikkerhetsprogram hvor hele organisasjonen skal delta.
Cyberforsvar i dybden: Det å sette opp en brannmur og kaste innpå noen anti-virus programmer vil ikke være cyberforsvaret mot cybertrusselen av i dag og i morgen. Det forsvaret må bestå av flere lag, teknologiske og kognitive. Og ikke minst, du og din organisasjon må øve regelmessig på hendelseshåndtering – hva skal dere gjøre når dere blir kompromittert? For det vil dere bli, før eller siden.

Lykke til!

Roar Sundseth er Spesialrådgiver i strategisk cybersikkerhet, Watchcom SG.

ledelse

Åpent brev til «Sjefen»

Hva du som sjef må vite om cyber- og informasjonssikkerhet.

Cybersikkerhet er et tema som må på agendaen i styrerommet

Gir du blaffen i sikkerhet vil det koste deg dyrt

Hackere kommer i forskjellige former og med ulike motivasjoner

Antallet angrepsflater fortsetter å øke

Balanser behovet for sikkerhet med behovet for produktivitet

Sikkerhet er ikke bare et teknisk problem – så langt der i fra

Magne Lerø: Strammer inn på kjønnsskifte-praksis – aktivister protesterer

Svake på onboarding: – Det tar lengre tid enn 3-6 måneder å produsere gode resultater

Mannsutvalget: I noen yrker går likestillingen feil vei

Thorbjørn Jagland: – Nei, det er ikke noe Churchill-aktig ved USAs våpenhjelp til Ukraina

Utvalg: Vil gi menn lik rett til foreldrepermisjon

Magne Lerø: Nye milliarder - siste sjanse for Ukraina

Her de er nye kravene til ledelse i staten

Rune Glomseth: Politikultur – vi handler som vi gjør fordi vi er prisgitt den kulturen vi er en del av

Nav-sjefen ber arbeidsgivere åpne dørene for ukrainere

4 grunnleggende kvaliteter hos en god mentor

Nina Riibe: Nå tømmer vi barnebarnas sparegriser

Statsansatte krever økt kjøpekraft – intern splittelse kan velte oppgjøret

Magne Lerø: Vestre i helsepolitisk motvind

Mari Sundli Tveit: Forskning forutsetter internasjonalt samarbeid

Tar du livsløgnen fra en politiker … hva tar du da fra han?

Strategi | Still gode spørsmål

Magne Lerø: Krig som nødvendig risikosport

Hva innebærer 'forbud mot gjengjeldelse'?

Nødvendige prioriteringer må skje, selv om det kan gå på tilliten løs

Magne Lerø: Vedums urene trav i lei bondeskvis

Hallo, skal det beregnes feriepenger av bonus?

Marius Jones | Psykologisk trygghet skraper overflaten på noe som ble godt beskrevet for lenge siden

Slaget om EØS-avtalen er ikke over i Fellesforbundet

Selvledelse | Bli flinkere til å ta imot kritikk

Magne Lerø: Straffebølge slår inn over landets småbedrifter

Åtte nye forskningssentre for miljøvennlig energi

Vanskeleg klima for klimadebatt

Magne Lerø: Et forsvar for den uthengte Ingvild Kjerkol

Blir ledere bedre ved å stoppe opp?

Enighet i hotell og restaurant

Psykiske helseplager utgjør en fjerdedel av alt sykefravær: 3 av 10 får ikke hjelp

Diskriminering på grunn av aldersgrense

Magne Lerø: Støre ut av Kjerkol-kattepinen

Tor W. Andreassen| Frontfagsmodellen må moderniseres

Bioingeniørene glemmes i støyen fra sykepleiere og leger

Storebrands HR-direktør: – Kunstig intelligens kan gi bedre muligheter i arbeidslivet for flere

Magne Lerø: Økokrim – enda et slag i løse luften

Enige om lønn i byggebransjen: Entreprenører frykter for framtiden

Kultur- og mangfoldsminister: Et skritt mot ekte likestilling?

Rett til permisjon ved religiøse høytider

Ledere drikker mer og oftere enn andre

Magne Lerø: Vi tåler kontroversielle 17. mai-talere

Lise Lyngsnes Randeberg: Hvor fattig er ‘passe fattig’ for studentene?

Tor W. Andreassen: Vi trenger et bærekraftig helsevesen

Oppsigelse på grunn av soning?

Det usynlige arbeidet på jobben - en kvinnefelle

Truls Liland: Det grønne skiftet og samfunnsengasjement

Enighet i lønnsoppgjøret: Mer å rutte med for alle

Magne Lerø: Ap fomler – løser ikke problemene i skolen

Runder 70 år: Noen mener han er stokk konservativ, andre at han er en opprørsk radikaler – det passer Magne Lerø godt