SIKKERHET

Disse spørsmålene bør du stille IT-sikkerhetsfolkene dine før ferien

Tilhører du ledelsen eller styret i en virksomhet og har dermed ansvar også for IT- og cybersikkerhet? Da er det en del spørsmål du bør stille til IT- og sikkerhetsfolkene dine.

Senior informasjonssikkerhetsrådgiver Simen Bakke skriver i innlegget at virksomhetsledelser og styrer bør stille noen kontrollspørsmål til IT-sikkerhetsfolkene sine før de tar sommerferie.
Senior informasjonssikkerhetsrådgiver Simen Bakke skriver i innlegget at virksomhetsledelser og styrer bør stille noen kontrollspørsmål til IT-sikkerhetsfolkene sine før de tar sommerferie. Foto: Privat
Simen Bakke, senior informasjonssikkerhetsrådgiver
2. juli 2024 - 12:21

De fleste som har jobbet med IT-sikkerhet noen år, vet at det pleier å være ulik forståelse for hva som er den faktiske sikkerhetstilstanden og vurderingene av hva som er «godt nok», mellom fagfolk og ledelse. Noen enkle spørsmål, stilt fra ledelsen til fagfolkene, kan imidlertid bidra til å gi ledelsen bedre situasjonsforståelse og dermed vurdering av egen sikkerhetstilstand. 

Selv om spørsmålene er relevante hver eneste dag, er de også spesielt relevante i forkant av høytider og ferier, ettersom bemanningen er lavere og flere cyberangrep mot virksomheter har en tendens til å inntreffe i ferieperioder. Angrepet som ble utført av kinesiske aktører mot de 12 departementenes IT-plattform i fjor sommer, er et godt eksempel. Det samme er løsepengevirus-angrepet mot Tomra, hvor IT-systemene ble utilgjengelige midt i fellesferien.

Seks viktige områder

Her er spørsmålene: 

Trusseletterretning: Gir lederen kunnskap om hvem som kan gjennomføre et angrep.

  • Har vi kunnskap om hvilke aktører som er interessert i vår virksomhet?
  • Er dette primært kriminelle aktører ute etter økonomisk vinning, eller avanserte og målrettede aktører?
  • Er det grunn til å anta at vi vil bli forsøkt utsatt for målrettet spionasje eller sabotasje fra avanserte aktører?

Grunnsikring og prioritering: Gir lederen kunnskap om hvordan egen sikkerhetstilstand er.

  • Gitt trusselbildet vi står ovenfor, har vi på plass en god nok grunnsikring for å forhindre, stanse og oppdage angrep?
  • Har vi oversikt over de viktigste IT-systemene og dataene som understøtter virksomheten?
  • Er disse prioriterte systemene og dataene sikret tilstrekkelig til å forhindre nedetid og kompromittering?
  • Hvilke kjente angrepsvektorer og sårbarheter har vi mot disse systemene?
  • Er det tiltak vi kan iverksette nå, for å redusere muligheten for utnyttelse?
  • Har vi tiltak som kan oppdage angrep som blir utført, ref. spørsmålet over?
− Det digitale har en enormt stor designfeil: At det er mye lettere å legge til enn å ta bort, sier Eivind Skogen i Netlife.
Les også

Digital ryddesjau: − Det beste du kan gjøre, er å slette Facebook

Avhengigheter: Gir lederen kunnskap om forhold til andre, utenfor egen kontroll.

  • Har vi kontroll på den underliggende IT-infrastrukturen som de prioriterte IT-tjenestene og dataene ligger på?
  • Har de prioriterte IT-tjenestene og dataene avhengigheter til andre tjenester internt eller hos andre leverandører?
  • Har vi undersøkt hvordan tjenestene er sikret hos leverandøren?

Beredskap: Gir lederen kunnskap om hvordan vi vil håndtere sikkerhetshendelser.

  • Hvis en sikkerhetshendelse oppstår, vet alle ansatte hvem som skal varsles?
  • Har vi på plass vaktordninger slik at ressursene for å håndtere en hendelse er til stede, også utenfor normal arbeidstid?
  • Har vi IT-systemer 'på utsiden' som gjør det mulig å kommunisere/håndtere, dersom våre primærsystemer går ned?
  • Har vi tilstrekkelig kompetanse selv, eller er vi avhengig av bistand?
  • Har vi avtaler med noen eksterne, i så tilfelle: Hvem ringer vi?

Gjenoppretting: Gir lederen kunnskap om gjenoppretting av normaltilstand ved en hendelse.

  • Dersom og data blir endret eller slettet, klarer vi å gjenopprette normaltilstand?
  • Har vi backup av alle viktige data?
  • Har vi testet eller øvd på at vi faktisk er i stand til å gjenopprette IT-systemene?

Og viktigst av alt for en leder: Gir ledelsen en totalvurdering av hvordan tilstanden faktisk er.

  • Er ditt inntrykk at vi har et forsvarlig sikkerhetsnivå for virksomheten, gitt det trusselbildet vi står i?
– I stedet for å gruble over om KI-forordningen gjelder for deg, kan det være tryggere å anta at den kommer til å gjøre det, skriver John E. Nilsen i advokatfirmaet Berngaard.
Les også

KI-forordningen gjelder for flere enn «big tech»

Gir kunnskap om egen virksomhet

Dette er et utvalg sentrale spørsmål som det er relevant for ledelsen å stille til IT- og sikkerhetsfolkene. Spørsmålene er relevante hver eneste dag. For noen av tiltakene kan det kreve betydelige forberedelser å svare ut at man faktisk har en «god nok» tilstand. Spørsmålene er spesielt relevante i forkant av ferieperioder, og det er fremdeles mulighet for å gjøre enkle tiltak knyttet til vaktordninger og varslingslister, selv om sommerferien nærmer seg med stormskritt.

Ved å stille disse spørsmålene til IT- og sikkerhetsfolkene i virksomheten, får ledelsen i beste fall betryggende svar om at tilstanden er «god nok», og man kan ta ferie med senkede skuldre. Alternativet er at man får vite at tilstanden burde vært bedre, men da lærer man i det minste noe om egen virksomhet. Det er en god ting. Da vet man hva som bør prioriteres av oppgaver etter sommerferien. Resultatet av kartleggingen vil derfor uansett ha et positivt utfall for alle parter.

Og man er, som virksomhetsleder og styre, litt bedre forberedt til en lang og god sommerferie!

Til tross for en rekke likheter mellom IT- og KI-strategi, mener Mattias Røstad Jørum og Bendik Witzøe at KI har en helt egen distinksjon som tilsier en selvstendig strategi.
Les også

KI-strategi er ikke IT-strategi

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.