Annonsørinnhold fra
Advertiser company logo

Slik får du full kontroll på NIS2: Automatisk oppfølgning – døgnet rundt

– Vi ser i dag at noen selskaper budsjetterer for fremtidige bøter. Det er feil tankesett, sier Jimi Inge, direktør for forretningsutvikling i finanssektoren i IBM
– Vi ser i dag at noen selskaper budsjetterer for fremtidige bøter. Det er feil tankesett, sier Jimi Inge, direktør for forretningsutvikling i finanssektoren i IBM

Med EUs nye sikkerhetsdirektiv på vei inn i norsk lovverk, vil det bli krevende for mange virksomheter å oppfylle kravene. IBM tilbyr nå et verktøy som oversetter lovverk direkte til tekniske tiltak – og hjelper både ledelse og IT-avdelingen med å jobbe smartere.

Samsvar, eller compliance, betyr ganske enkelt etterlevelse av lover, regler og standarder som gjelder for virksomheten din. Det handler ikke om å ha gode intensjoner, men om å kunne dokumentere at du faktisk følger kravene. I praksis betyr dette også at virksomheten kontinuerlig må overvåke kjente sårbarheter i systemene, følge med på nye trusler som kan oppstå i skyen eller egne datasentre, og sørge for at regelverket følges selv når det oppdateres. EU-regelverk som NIS2, DORA og GDPR er nemlig i stadig utvikling, og kravene endres hyppig.

I NIS2-sammenheng betyr dette blant annet at du må beskytte dine digitale systemer, ha kontroll på risiko, varsle om sikkerhetsbrudd og kunne vise at du kontinuerlig jobber med å forbedre sikkerheten.

Samsvar er mer enn en årlig øvelse  

Jimi Inge, direktør for forretningsutvikling i finanssektoren i IBM.
Jimi Inge, direktør for forretningsutvikling i finanssektoren i IBM.

– Mange tror fortsatt at samsvar er noe du tar tak i én gang i året i forbindelse med revisjon, men NIS2 handler om kontinuerlig kontroll, hver dag og hele året, sier Jimi Inge, direktør for forretningsutvikling i finanssektoren i IBM.

Det er et tankeskifte mange virksomheter nå må forholde seg til. Der revisjoner tradisjonelt har vært en periodisk sjekk, krever NIS2 at ledelsen har sanntidsoversikt over IT-risiko og sårbarheter.

– Regelverket er der for å beskytte virksomheten din året rundt. Da må du vite når avvik oppstår. Du kan ikke vente til neste revisjon, sier Inge.

Full kontroll når du trenger det

Utfordringen for ledere er at IT-landskapet i de fleste virksomheter er blitt ekstremt komplekst. Informasjon finnes i egne datasentre, flere offentlige skyer, i programvarer levert som tjenester og i ulike kombinasjoner av disse. Nye servere etableres, systemer flyttes, tjenester fases ut og inn. I tillegg oppdateres regelverk og internasjonale standarder fortløpende.

IBM har derfor utviklet verktøyet IBM Cloud Security and Compliance Center Workload Protection (SCC WP), som fortløpende oppdaterer retningslinjene sine slik at du hele tiden kan måle virksomheten opp mot gjeldende krav. Dermed trenger du ikke lenger følge opp manuelt.

– Menneskelige prosesser blir ofte flaskehalsen. Derfor handler dette ikke bare om teknologi, men om å automatisere det som må gjøres, slik at du faktisk har kontroll når du trenger det, forklarer Inge.

Regelverk blir til tekniske tiltak

Kjernen i IBM-verktøyet er at det oversetter juridiske krav og regulatoriske rammeverk til konkrete, tekniske sjekklister som kontinuerlig kontrolleres mot IT-infrastrukturen din. Allerede fra dag én kan du bruke verktøyet til å kjøre en automatisk analyse. Det tekniske oppsettet ditt sjekkes opp mot kravene i NIS2 og andre regelverk, og gir et tydelig bilde på hvor du er i rute, og hvor det finnes avvik som må lukkes. På den måten får ledelsen et konkret utgangspunkt for planlegging av videre arbeid.

I tillegg til å kartlegge samsvar-status, gjennomfører verktøyet også sårbarhetsskanning i IT-systemet ditt. Slik oppdages feiloppsett og svakheter tidlig, og IT-avdelingen får konkrete, prioriterte tiltak som kan iverksettes før det oppstår sikkerhetshendelser.

– Regelverket er der for å beskytte virksomheten din året rundt.

Jimi Inge, direktør for forretningsutvikling i finanssektoren i IBM

– Vi sier gjerne at verdien i verktøyet ligger i oversettelsen. Regelverkene er i sitt vesen juridiske og forretningsmessige tekster. Men IT-folk snakker ikke det språket, og samsvar-ansvarlige snakker ikke IT-språk. SCC WP gjør om regelverkene til tekniske kontroller som IT-avdelingen forstår og kan forholde seg til, forklarer Inge.

Verktøyet kobler dermed sammen det som tradisjonelt har vært to adskilte verdener i virksomheten: samsvar og IT-drift. Resultatet er et dashboard som gir en helhetlig sanntidsvisning av virksomhetens samsvar-status. 

– Du kan se hvor du har avvik. Kanskje har du 800 kontroller som er godkjente, 20 gule og 10 røde. Da vet du hvor du er i samsvar med regelverket og hvor du har risiko, sier han.

Leverandøruavhengig arkitektur gir komplett oversikt

En viktig styrke med IBM SCC WP er at plattformen fungerer uansett hvor informasjonen din ligger.

– Informasjon finnes i dag over alt. På lokale servere, i skyen, ofte flere skyer, og i ulike programvaretjenester. Derfor må samsvarsverktøyet kunne se alt samlet. SCC WP fungerer uavhengig av leverandør, og samler all informasjon på ett sted, sier Inge. 

Denne egenskapen gjør også verktøyet nyttig for virksomheter som har satt ut IT-driften.

– Om du outsourcer IT-driften din, har du fortsatt ansvar for å være i samsvar. SCC WP gir deg innsikten du trenger for å stille krav til dine leverandører, påpeker Inge.

Til tross for kompleksiteten i IT-landskapet trenger ikke innføringen av SCC WP å være omfattende.

– Vi anbefaler å starte smått: velg ett regelverk, ett datasenter, og begynn der. Etter to til fire uker har du et fungerende testmiljø. Deretter kan du utvide stegvis, sier Inge. 

– NIS2 handler om kontinuerlig kontroll, hver dag og hele året, sier Jimi Inge.
– NIS2 handler om kontinuerlig kontroll, hver dag og hele året, sier Jimi Inge.

Invester nå, og unngå fremtidige bøter

Verktøyet kan fungere som en bro mellom ledelsen og IT. Ledere får trygghet og dokumentasjon for styrerommet, samtidig som IT-avdelingen får konkrete handlingspunkter.

– IT kan vise ledelsen at virksomheten er i samsvar.  Ledelsen kan på sin side stille konkrete spørsmål tilbake til IT: Hvorfor er denne kontrollen rød? Hva er planen for utbedring? forklarer Inge.

Han påpeker viktigheten av å investere i proaktiv kontroll, som gir langt bedre beskyttelse, lavere risiko og potensielt også lavere kostnader. Å få løpende kontroll på samsvar kan også være en god investering i virksomhetens merkevare i form av tillit.

– Vi ser i dag at noen selskaper budsjetterer for fremtidige bøter. De forventer at de kommer til å feile. Det er et feil tankesett. Bruk heller disse pengene på å ta kontrollen nå. Dette er et ledelsesspørsmål, og har du ikke løftet denne diskusjonen inn i ledergruppen ennå, er tiden mer enn moden nå, avslutter Inge.

Fire nøkkelråd for bedre samsvar

  • Start arbeidet nå
  • Automatiser alt som kan automatiseres
  • Gjennomfør en analyse for å se hvor dere står
  • Se samsvar som en investering som kan spare virksomheten for både risiko og kostnader

Hvor står virksomheten din i dag?

Jimi Inge anbefaler at ledelsen stiller seg noen enkle, men viktige spørsmål:

  • Hvor står vi i dag, og hvor stort er samsvars-gapet?
  • Har vi dokumentasjon på samsvar, eller bare en følelse av kontroll?
  • Kan vi bruke samsvars-arbeidet til å styrke merkevaren og konkurransekraften?
  • Er vi rigget for de regulatoriske endringene som kommer de neste årene?
 
 
Var denne artikkelen nyttig?

Les flere artikler fra Atea

Totalforsvar er eneste realistiske vei for å møte kravene i NIS2

Totalforsvar er eneste realistiske vei for å møte kravene i NIS2

Du kan ikke sikre det du ikke ser

Du kan ikke sikre det du ikke ser

Sikkerhet i skyen: Enklere, tryggere og alltid oppdatert

Sikkerhet i skyen: Enklere, tryggere og alltid oppdatert