Betydningen av god cybersikkerhet er nesten umulig å overvurdere i dagens verdensbilde. Teknologi og digitale tjenester spiller vitale roller for de aller fleste bedrifter. Samtidig vokser cybertrusselen i størrelse og kompleksitet, ikke minst fordi bedrifter griper digitalt inn i hverandre gjennom verdikjeden.
Derfor er det helt naturlig at mange bedrifter velger å utkontraktere deler av sikkerheten til et Security Operations Center – et såkalt SOC – for å fokusere ressursene sine på kjernevirksomheten.
I mange ledergrupper er det i dag ikke lenger et spørsmål om hvorvidt de skal ha en SOC, men hvordan de kommer frem til en løsning som passer til virksomhetens egenart, størrelse, arbeidsflyt og budsjett.
Grunnleggende sett er målet å oppnå dokumentert reduksjon av risiko, raskere deteksjon og respons på trusler, minimale driftsforstyrrelser og tydelige beslutningsprosesser ved hendelser.
Det er et før og et etter
For å komme dit kreves det at bedrifter jobber i to spor, med et «før» og et «etter».
Gjør det klart for dere hva det er viktig å beskytte, hvor de svake leddene er, hvilke systemer som tåler nedetid og – i særdeleshet – hvilke som ikke gjør det. Det må være fullstendig klarhet i dette før man definerer alarmer, handlingsplaner og ansvar for henholdsvis SOC-en og bedriften selv. Nettopp denne prosessen er spesielt viktig, da en veldefinert samarbeidsavtale reduserer risikoen for misforståelser og sikrer at begge parter kan jobbe effektivt i tilspissede situasjoner.
Først gjelder det å gjennomføre en nøktern vurdering av bedriftens IT-infrastruktur. Dette bør gjerne gjøres av en betrodd ekstern partner som, uten bias eller oversalg, gir et rettvisende bilde av infrastrukturen og samtidig kan gi realistiske prioriteringer.
Deretter må det foreligge en handlingsplan med klare prioriteringer: Hvilke digitale tjenester eller miljøer skal SOC-en overvåke først? Ofte vil dette være brukerkontoer, enheter og skytjenester, som ikke nødvendigvis er de systemene som ligger tettest på kjernevirksomheten.
Avslutningsvis definerer dere policyer og handlingsplaner sammen med leverandøren. Det handler om hvilke sårbarheter SOC-en skal løse først, hvilke kontroller som skal innføres, og hvor balansen mellom drift, sikkerhet og risikovilje ligger.
På bakgrunn av dette kan dere enklere avtale praktiske forhold. Det kan være snakk om hvilke spesifikke loggfiler og integrasjoner som skal være aktive, hvordan SOC-en kan og skal reagere ved spesifikke hendelser og hva dere ønsker å dokumentere – det kan være alt fra håndtering av oppdateringer til identitetskontroll av brukere.
Periodisk oppfølging
Med dette grunnarbeidet på plass skaper bedriften gode forutsetninger for at SOC-en kan jobbe effektivt. Men bedriften kan heller ikke her slippe tøylene.
Tvert imot. Enhver endring i IT-landskapet påvirker risikoprofilen, uavhengig av om det er snakk om nye brukere, enheter, skytjenester, integrasjoner eller oppkjøp. Drift og sikkerhet går hånd i hånd, og det krever kontinuerlig engasjement.
Derfor er det behov for periodiske oppfølginger for å sikre at nye enheter og brukere lever opp til eksisterende standarder. Samtidig er det nødvendig å løpende teste og trene på beredskapsplaner og responsstrategier, slik at alle vet nøyaktig hva de skal gjøre i tilfelle en hendelse.
Bedriften eier beslutningene
Og dersom ulykken først er ute, er det fremdeles bedriften selv som eier beslutningene. Spesielt hvis et cyberangrep rammer sensitive produksjonssystemer som ikke kan isoleres uten alvorlige konsekvenser for driften. I tillegg forventer kunder og øvrige interessenter klar og tydelig kommunikasjon, og det ansvaret kan ikke en SOC bære.
Bedrifter oppnår først reell sikkerhet når de ser på SOC-en som en strategisk partner og ikke bare en enkel leverandør. Det handler om å engasjere seg før, under og etter. For hvis man slipper tøylene helt, kjøper man trygghet på papiret, men står ikke nødvendigvis sterkere når det virkelig gjelder.
Google Norge-sjefen gir seg, organisasjonen endres: – Vil berøre et begrenset antall ansatte i Norge
