Sivilingeniør Toril Nag er konsernleder i Lyse Tele, styreleder i Altibox og i fjor ble hun hedret med Rosing-prisen for «årets toppleder» av Den Norske Dataforening.
TEKNOSNAKK: Konserndirektør i Lyse Tele og styreleder i Altibox, Toril Nag holdt innlegget «hvordan selge sikkerhet til en leder». Et klart råd til tilbyderne av løsninger var å tone ned bruken av teknologibegreper. (Bilde: unknown)

Sikkerhetskonferansen 2015

- For mye teknosnakk

Slik selger man ikke sikkerhet til ledere, mener Lyse Teles konserndirektør.

OSLO KONGRESSENTER (digi.no): Kriminelle selger DDoS-angrep (distribuerte tjenestenektangrep) som kan lamme en bedrifts nettsider som abonnementstjenester. Prisen starter fra usle 9,99 dollar i måneden og oppover.

En slik smørbrødliste var noe av det konserndirektør i Lyse Tele og styreleder i Altibox, Toril Nag, presenterte i lysbilder under sitt innlegg på sikkerhetskonferansen til Nasjonal sikkerhetsmyndighet (NSM) i forrige uke.

Norge er utsatt

Skaden [DDoS-sabotasje] medfører er likevel kanskje den mildeste form for kyberkriminalitet, sa Toril Nag i sitt innlegg på NSMs sikkerhetskonferanse i forrige uke.

Hun trakk frem fjorårets hackerinnbrudd i storbanken JP Morgan Chase, som berørte over 80 millioner amerikanske husstander, som eksempel på hvor ille det kan gå.

Fra arkivet: USAs største bank hacket

- Dette er en kjempestor bank som garantert hadde stort fokus på sikkerhet. Men det er ikke noe bedre her til lands. Veldig mange blir utsatt for datainnbrudd.

Nasjonal sikkerhetsmyndighet la i forrige uke fram sin årsrapport, som slo fast at truslene og antall alvorlige dataangrep igjen øker markant.

- Den gode nyheten er at når det er så mye virksomhetskritisk informasjon som blir utsatt for skadelige operasjoner, er det mange som ser mulighet for å levere løsninger som kan beskytte oss, sa Toril Nag.

- Det blir ikke bedre

- 2014 var året for de store dataangrepene. Ja, men det kommer i alle fall ikke til å bli bedre framover. Store, store kriminelle organisasjoner har ikke andre muligheter enn å drive kriminalitet enn i cyberspace, sa hun.

Det viktigste stikkordet er samarbeid. Vi er nødt til å stå sammen om å finne gode sikkerhetsløsninger. Vi klarer ikke løse dette hver for oss, mente Nag.

Foredraget hennes var myntet på ledere i næringsliv og offentlig sektor med tittelen «hvordan selge sikkerhet til en leder?».

Sektorvise og dedikerte brannkorps a la finansnæringens initiativ FinansCERT (CERT står for computer emergeny response team), slik NSM-direktør Kjetil Nilsen også fremhevet tidligere på dagen («se til bankene»), stiller også Nag seg bak.

Dette er FinansCERT: A-lag mot kyberkrim

Lurt trill rundt

Det er et paradoks at ledere skal ta inn over seg alle endringer og utfordringer i markedet, men når det gjelder akkurat sikkerhet er det mange som forsømmer seg, ifølge Nag.

- Det er fristende å sitere Melissa Hathaway (kvinnen som ledet kybersikkerhetsprogrammer for presidentene Barack Obama og George W. Bush, red.anm.) som sier at ledere blir «outmaneuvered and outwitted» (pdf) (utmanøvrert og lurt trill rundt).

TEKNOSNAKK: Konserndirektør i Lyse Tele og styreleder i Altibox, Toril Nag holdt innlegget «hvordan selge sikkerhet til en leder». Et klart råd til tilbyderne av løsninger var å tone ned bruken av teknologibegreper.
TEKNOSNAKK: Konserndirektør i Lyse Tele og styreleder i Altibox, Toril Nag holdt innlegget «hvordan selge sikkerhet til en leder». Et klart råd til tilbyderne av løsninger var å tone ned bruken av teknologibegreper. Bilde: unknown

Systemsnakk

Problemet, mente konserndirektøren i Lyse Tele, er at mange ledere tror at IT bare er noe IT-avdelingen skal drive med.

- Sikkerhetsfolkene er i for liten grad blitt invitert med i ledergruppen, men jeg tror det er i ferd med å forandre seg, sa Nag som observerer en generell økt bevissthet om betydningen sikkerhet har for bunnlinjen.

Så er det for mye «systemsnakk» og snakk om løsninger. Ledere snakker ikke nødvendigvis det samme språket. Det er for mye bruk av teknologibegreper, sa hun.

Rådet er at alle som er opptatt av sikkerhet må forstå forretningen og hvilke konsekvenser sikkerhetsbrudd kan ha for bunnlinjen.

- Hva er det faktisk som kommer til å skje med vår business hvis vi blir utsatt for sabotasje. Og videre hva kan gjøres i praksis? Hvor mye tapt arbeidstid risikerer vi. Hva vil det koste å rydde opp hvis vi blir angrepet? Hva vil skje med omdømmet vårt hvis vi rammes som de amerikanske bankene i fjor? Det er min påstand at sikkerhet handler mer om ledelse enn teknologi, sa Toril Nag.

Avslutningsvis svarte hun på sitt eget spørsmål om hvorfor man skal måtte selge sikkerhet til en leder slik:

- Det skulle jo bare mangle.

Les også: IT-sikkerhet er et lederansvar

Kronikk: Ledere - ikke gjem dere bak IT-avdelingen

Slik tar Watson svindlere

Til toppen