SIKKERHET

Sikkerhet må måles mot gevinstene som skapes

Derfor må investeringene fundamenteres i forretningsstrategien.

 Alle kan bli hacket, uansett hvor mye som er brukt på sikkerhet. Ledelsen må derfor kunne forsvare valgene som er tatt, skriver Marianne Welin Rinde i WithSecure i denne kronikken.
Alle kan bli hacket, uansett hvor mye som er brukt på sikkerhet. Ledelsen må derfor kunne forsvare valgene som er tatt, skriver Marianne Welin Rinde i WithSecure i denne kronikken. Foto: Pressefoto
Marianne Welin Rinde, leder for Skandinavia og Island i WithSecure
11. juni 2024 - 12:05

Nå som ledere erkjenner at sikkerhet er forretningskritisk, må de som styrer pengesekken, vite hvilke investeringer som beskytter og ikke legger fartsdumper i veien for ansatte, prosesser og forretningsmodeller. Den perfekte beskyttelsen finnes ikke. Alle kan bli hacket, uansett hvor mye som er brukt på sikkerhet. Ledelsen må derfor kunne forsvare valgene som er tatt.

For å lykkes bør sikkerhetstiltak anses som forretningskritiske investeringer linket direkte opp mot gevinstene som skapes. Analytikerne i Gartner Group råder at fremfor å rapportere på hvor mange angrep virksomheten avverger, bør en heller se på/måle prosessene og tiden som brukes på oppgraderinger og tetting av sikkerhetshull. En slik tilnærming synliggjør verdien av det grundige sikkerhetsarbeidet og fjerner sårbarhetene som enklest kan utnyttes.

En mer proaktiv og offensiv tilnærming

Sikkerhet har vært preget av å respondere på trusler. Det fungerer middels i et landskap der angripere oftest ligger et steg foran i katt- og mus-leken. En reaktiv strategi gjør at en henger etter og har begrenset kunnskap om hendelser og risiko. Arbeidsplassen blir mindre attraktiv for de fagekspertene en behøver for å beskytte seg, og ikke minst sløses det med tid og ressurser.

Alle rapporter bekrefter at truslene blir stadig mer sofistikert. Derfor må sikkerhetsarbeidet støtte forretningsmål som å skape en enda mer robust organisasjon, øke produktiviteten og styrke konkurransekraften. Det innebærer en proaktiv tilværelse og en mer progressiv strategi der sikkerheten måles på hvor godt den verner om forretningsmålene og reduserer risiko. I overgangen vil mange virksomheter finne det vanskelig å finne data som forteller hvor modne de er i sitt sikkerhetsarbeid, og sette måltall på hvor langt de har kommet.

Bli enig om målene

Den proaktive retningen gjør det enklere å få oversikt over risiko og eget sikkerhetsnivå, investere klokt og måle verdien av investeringer. For å komme dit, er disse faktorene viktige:

  • Jobb sammen med ledergruppen for å bli enige om forretningsmålene som sikkerheten skal støtte. Link disse opp mot investeringer, hvilke trusler en er mest utsatt for og hvilken grad av kontroll som ønskes.
  • Vær tydelig i kommunikasjonen om hvordan investeringene i sikkerhet skaper verdier. Snakk på en måte som folk forstår. Unngå teknisk og vanskelig språk.
  • Styr ressursene riktig. Det vil trolig ikke være mulig å oppnå høyeste sikkerhetsnivå på alle områder, derfor handler det om bevisste prioriteringer.
  • Jobb sammen med de som har ansvar for styring (compliance) og innkjøp, slik at de forstår at ny strategi kan innebære en endring i hvordan produkter og tjenester kjøpes inn.
  • Sikkerhet kan ikke fungere i en silo, derfor bør en jobbe tett med de andre avdelingene for å sikre at sikkerhetstiltakene samsvarer med evnen til å oppnå forretningsmålene.
  • Skaff dere full oversikt over alle systemer og verktøy dere har i dag, og ta bort de som ikke bidrar til å oppnå vedtatte mål. Det vil frigjøre midler som kan investeres mer riktig.
  • Få på plass målingen og styringen som gjør at dere har kontroll på måloppnåelsen, og som gjør at det er mulig å bevise verdien av investeringene.

Selv om det er umulig å fjerne all risiko, vil en offensiv tilnærming gi økt kontroll og mindre stress i organisasjonen. Det blir vanskeligere for angriperne å skåre om dere selv har kontroll på ballen.

Advokat Kristian Foss, advokatfullmektig Tara Årøe og advokat Sara Lamøy Engberg i Bull & Co Advokatfirma tar i kronikken for seg én av flere nye EU-lover i det digitale domenet som norske virksomheter må tilpasse seg til.
Les også

Nye krav til dingser: Disse punktene bør du vite om Cyber Resilience Act

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.