<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=441681&amp;fmt=gif">

09 februar 2021

Daglig leder: Tar du IT-sikkerhet så alvorlig som du burde?

4 min lesetid

09. februar 2021

Som daglig leder er du personlig ansvarlig for IT-sikkerhet i bedriften. Da er det viktig at du har en plan for å ivareta den.

Som daglig leder i en bedrift, hva er ansvarsområdene dine? 

Det kan være lett å begynne å liste opp alt fra inntjening, ansattes ve og vel, fornøyde styremedlemmer, konkurransedyktighet, kundetilfredshet og så videre. Men hva med «å verne om verdiene selskapet er bygget på»?

I 2021 er mange av disse verdiene digitale. Hva skjer med daglig drift dersom kundedatabase, e-postsystem, markedsplaner, strategidokumenter og budsjettregneark forsvinner? Neppe noe positivt. 

Dersom du ender opp med å tape penger, enten du blir rammet av ransomware som krever en halv million i bitcoin-format, eller mer indirekte ved at kundedata lekkes ut og omdømmetapet fører til konkurs, kan du bli stilt personlig ansvarlig for å betale det bedriften skylder.

Tar du beskyttelsen av de digitale verdiene dine på alvor?

Ikke IT-sjefens ansvar

Det er ikke uvanlig at daglig leder tenker at informasjonssikkerhet er en del av ansvarsområdet til IT-sjefen. Men IT-sjefens ansvar er vanligvis IT-drift, ikke sikkerhet. Alternativt tenker mange at de er trygge siden de har dataen sin i skyen (noen andres datasenter) og/eller bruker en stor leverandør de stoler på, som Google eller Microsoft.

Dessverre er det ikke vanskelig å få adgang til din Google Drive dersom bare én av de ansatte er uforsiktig med hvor de skriver inn passordet sitt. Google er ikke en magisk fix-all, og du må aktivt dedikere både tid og ressurser til informasjonssikkerhet for at den skal nå et akseptabelt nivå. 

Så klart, med mye annet på timeplanen, er det forståelig at informasjonssikkerhet nedprioriteres. Det betyr ikke at det er forsvarlig. Om bedriften din er en Formel 1-bil, så er informasjonssikkerhet bremsene. Nei, det hjelper deg ikke med å nå overskuddsmålet ditt for Q4, men det hjelper deg med å unngå situasjoner som ville sendt bedriften din brennende inn i autovernet.

Informasjonssikkerhet er nødvendig for å sikre at drift av forretningen kan foregå uforstyrret uten nedetid, tap av data eller integritet. Det sikrer kontrollert tilgang for dem som skal gjøre jobben.

Her kan du lese slik sikrer du deg i skyen

CIA – tre aspekter ved informasjonssikkerhet

God informasjonssikkerhet deles ofte inn etter CIA-modellen, som også kalles IAC-modellen for å unngå å blandes med hemmelighetsfulle amerikanere i dress med øreplugger. Vi foretrekker CIA-modellen.

CIA-modellen er en rettvinklet trekant som består av sidene Confidentiality, Integrity og Availability, eller konfidensialitet, integritet og tilgjengelighet. Alle tre er nødt til å adresseres for at du skal kunne regne informasjonssikkerheten din som god nok. 

La oss utbrodere litt:

Konfidensialitet – hold dataen din privat

Dette handler om å skjule dataen du sitter på fra uvedkommende. For å sikre konfidensialitet bruker du tiltak som VPN-nettverk, kryptering, tofaktorautentisering og gode passord-rutiner. En god anbefaling er å dele inn dataen og dokumentene dine etter hvor stor skade en lekkasje vil gjøre, og prioritere beskyttelse over tilgjengelighet deretter. Dette kan du gjøre via en ROS-analyse, som vi skal ta for oss i en senere artikkel.

Integritet – kan dataen din forsvinne?

Denne siden av trekanten handler om hvor robust dataen din er, og om den kan tapes eller endres. Typiske tiltak her er å ta backup av alt som er viktig, og å ha egne lesetillatelser for utenforstående som trenger tilgang men ikke burde ha mulighet til å endre noe. I tillegg burde det være en form for overvåkning som kan varsle deg om uventede endringer blir gjort.

Tilgjengelighet – har du alltid tilgang?

Siste side av trekanten omhandler tilgangen på dataen din, og at den alltid er mulig å nå. Brudd på dette kan føre til driftsstans, og koste deg store beløp. Gode tiltak her er redundancy (i praksis å unngå å legge alle eggene dine i én digital kurv), gode krisehåndteringsplaner og beskyttelse mot DDoS-angrep.

Viktigheten av å dekke alle sider av trekanten

Ofte har mindre bedrifter bare dekket én eller to av aspektene over. Om du tenker at «det fungerer helt fint slik det er nå», kan det bety at tilgjengeligheten er ivaretatt, på bekostning av integritet og konfidensialitet.

Tilsvarende ser vi for eksempel utfordringer i helsesektoren der konfidensialitet kommer på bekostning av tilgjengeligheten, elegant illustrert av følgende overskrift:

«Han døde dessverre, men pasientjournalen hans var i hvert fall sikker!»

Dette er (ofte vanskelige) avveininger som må tas i forkant, før problemene oppstår. Det ansvaret er ditt som daglig leder. Du må ikke gjøre det selv – vi anbefaler absolutt at du involverer profesjonelle – men om ikke du igangsetter skikkelige rutiner, vil du neppe oppdage hvor dårlig verdiene dine er sikret før det plutselig er for sent.

Ønsker du å snakke med oss om IT-sikkerhet er det bare å ta kontakt.

 

Hugo Fernandez

Skrevet av Hugo Fernandez

Hugo har lang erfaring fra IT-bransjen og har de siste årene jobbet som salgssjef hvor han har levert sikkerhets- og netttverksløsninger til store og små kunder. Hans (og vårt) mål er at alle norske bedrifter skal ha samme mulighet til å sikre sine digitale verdier, uavhengig av størrelse.