Å etablere en god sikkerhetskultur blir den aller viktigste utfordringen i 2016, ifølge en undersøkelse utført blant medlemmene til Norsk informasjonssikkerhetsforum. (Bilde: WWW.SHOCK.CO.BA)

Norsk informasjonssikkerhetsforum:

Her er neste års viktigste sikkerhetsutfordringer

– Roten til god sikkerhet ligger ofte mellom ørene på de ansatte.

Dette er neste års viktigste sikkerhetsutfordringer, ifølge en fersk undersøkelse fra Norsk Informasjonssikkerhetsforum (ISF).

Den ideelle organisasjonen har spurt egne medlemmer, noe som omfatter sikkerhetsrådgivere, sikkerhetsledere og IT-ansvarlige i offentlig og privat sektor. 84 av rundt 200 medlemsbedrifter svarte.

Blant trendene som utpeker seg havner sikkerhetskultur helt øverst. Altså er verken teknologi, produkter eller løsninger områder der fagfolk mener skoen trykker mest.

Rapporten trekker frem tre sitater for å underbygge dette:

«Roten til god informasjonssikkerhet ligger ofte mellom øra på de ansatte.»

«Det kan virke som sikkerhetstankegangen ikke er tilstede i blant mange mennesker, dvs. at de har aldri lært å tenke sikkerhet.»

«Kollegaene er det sterkeste og potensielt svakeste ledd.»

Skylapper i skyen

Megatrenden skytjenester berører i høyeste grad også sikkerhet. Virksomhetene velger i økende grad skytjenester, uten at sikkerhetsavdelingen nødvendigvis har den fulle oversikt over hva ansatte laster opp eller kjøper inn av løsninger.

«Det blir vanskeligere å kontrollere hvor data er og hvem som kan se dem, samtidig med at kravene til denne typen kontroll øker», heter det i rapporten.

Mangel på kompetanse og ressurser er også fremhevet under et eget punkt. Dette er noe som går igjen i flere sammenhenger, ikke minst i sårbarhetsrapporten som det regjeringsoppnevnte Lysne-utvalget nylig la frem.

Forhold som ikke nådde helt opp, men som anses som viktige (såkalte boblere) blir kort ramset opp i rapporten: Forankring i ledelsen, phishing, målrettede angrep, BYOD-trenden (bring your own device, altså at ansatte selv bestemmer eller kjøper inn og bruker eget utstyr, for eksempel mobiltelefoner og nettbrett), big data, personvern og tingenes internett.

Blir angrepet med e-post

Tre konkrete tiltak blir ramset opp som viktig å få på plass eller forbedre i 2016. Her blir opplæring og bevisstgjøring av ansatte nevnt først.

I likhet med norske myndigheter tidligere gir også ISF i rapporten uttrykk for at langt på vei de fleste angrep skjer via e-post.

Det vil si enten som vedlegg med skadevare, eller lenker som leder til dette, eller tilsvarende forsøk på å lure informasjon ut av mottakere.

Etablering av prosesser og rutiner blir også betegnet som et viktig tiltak. Dette punktet henger nært sammen med sikkerhetskultur.

Risikovurderinger både for å følge opp regelverk og bedre sikkerheten blir nevnt som det tredje tiltaket.

Antyder økte budsjetter

55 prosent av respondentene svarer at ressursbruken på sikkerhetsområdet kommer til å øke til neste år. Dette fordeler seg med 13 prosent av respondentene venter «stor økning» og 42 prosent venter en «liten økning».

Et stort mindretall på 42 prosent tror at ressursbruken ikke vil endre seg. Rapporten gir ingen nærmere forklaring til funnene eller hva de betyr.

Så er dette også en første undersøkelse som ISF venter å gjenta årlig fremover, forhåpentligvis da med flere detaljer.

Lillian Røstad ble valgt til ny styreleder i ISF i mars i år. Denne uken står hun i spissen når ISFs høstkonferanse arrangeres i Strömstad.
Lillian Røstad jobber nå i Sopra Steria business consulting. Bilde: Harald Brombach

– Må bli flinkere til å jobbe med ansatte

– Det er ingen ting direkte overraskende i rapporten, men det er verdt å merke seg dette med sikkerhetskultur. Medarbeiderne er både det sterkeste og svakeste kort i virksomheten. Vi sikkerhetsfolk må bli flinkere til å jobbe med de ansatte, sier ISF-styreleder Lillian Røstad til digi.no.

Røstad forlot nylig Difi for å lede satsingen på informasjonssikkerhet i Sopra Steria, der hun jobber ut mot kundene.

Nå ser hun frem til å jobbe med sikkerhet i en større konsulentbedrift, nærmere bestemt med å styrke kundenes sikkerhet i hele verdikjeden.

– Har du selv noen konkrete råd til hvordan norske virksomheter bør møte sikkerhetsutfordringene til neste år?

– Jeg tror det er mye viktig i det undersøkelsen sier. Det handler om å jobbe med folk på alle nivåer, ikke bare den enkelte ansatte og passordene deres, men hva en driftsteknikker eller ledelsen trenger å kunne. Her er det et godt stykke som gjenstår, mener Røstad.

Til toppen