Du er personlig ansvarlig for mange viktige områder i bedriften som daglig leder. Står IT-sikkerhet høyt oppe på lista over dine prioriteringer? Hvis ikke, bør du ta grep nå. Det er kritisk at du også har en plan for å sikre de digitale verdiene til bedriften din.
Daglig leder har mange ansvarsområder. Du skal ha kontroll på alt fra inntjening til ansattes ve og vel, konkurransedyktighet, kundetilfredshet og så videre. Å verne om selskapets verdier står allerede høyt på lista. Da er det essensielt å huske på at selskapet ditt ikke bare har fysiske verdier, men også digitale.
Derfor bør du bry deg om bedriftens IT-sikkerhet
Informasjons- og datasikkerhet er nødvendig for å sikre at drift av forretningen kan foregå uforstyrret uten nedetid, tap av data eller integritet. Det sikrer kontrollert tilgang for ansatte som skal gjøre en jobb.
Hva skjer med daglig drift dersom kundedatabase, e-postsystem, markedsplaner, strategidokumenter og budsjettregneark plutselig bare forsvinner? Konsekvensene kan bli store, dersom du blir rammet. Ransomware er blant de mest profilerte formene for dataangrep, og hyppigheten øker eksponentielt for hvert år som går.
Blir du infisert av ransomware som krever en halv million i bitcoin-format, eller rammes mer indirekte ved at kundedata lekkes ut og omdømmetapet fører til konkurs, kan dette føre til store økonomiske tap. Du kan bli stilt personlig ansvarlig for å betale det bedriften skylder. Ta derfor beskyttelsen av de digitale verdiene dine på alvor!
Les også: Du kan allerede være infisert av ransomware
Datasikkerhet er ikke IT-sjefens ansvar
Det er ikke uvanlig at daglig leder tenker at det er IT-sjefen eller IT-ansvarlig som har ansvaret for IT-sikkerheten. Det stemmer ikke. IT-sjefens ansvar er normalt IT-drift, ikke IT-sikkerhet. Det er også mange som tenker at : «Min virksomhet er trygg, siden mine data er plassert i skyen» eller «Vi er trygge, fordi vi bruker en stor leverandør som Google eller Microsoft».
Dessverre er det lett å få adgang til din Google Drive. Det eneste som skal til er at én av de ansatte er uforsiktige med hvor de skriver inn passordet sitt. Google er ikke en magisk løsning. Som daglig leder, må du aktivt sette av både tid og ressurser til IT-sikkerhet. Det er kritisk for at den skal nå et akseptabelt nivå.
I en hektisk hverdag er det forståelig at informasjonssikkerhet kanskje nedprioriteres, men det er ikke forsvarlig. Dersom du sammenligner din bedrift med en Formel1-bil, så er, så er systemer for IT-sikkerhet bremsene. De hjelper deg unngå situasjoner som ville sendt bedriften din brennende inn i autovernet.
Du må ivareta disse tre aspektene ved IT-sikkerhet
God datasikkerhet deles ofte inn i tre aspekter etter CIA-modellen, som også kalles IAC-modellen (for å unngå sammenblandingen med hemmelighetsfulle amerikanere i dress med øreplugger).
CIA-modellen illustreres gjennom en trekant som består av sidene Confidentiality (konfidensialitet), Integrity (integritet) og Availability (tilgjengelighet).
Du må adressere alle de tre sidene i trekanten for at du skal kunne regne IKT- sikkerheten din som god nok.
1. Konfidensialitet – hold dataen din privat
Bruk tiltak som VPN-nettverk, kryptering, tofaktorautentisering og gode passordrutiner, for å skjule dataene dine fra uvedkommende.
En god anbefaling er å dele inn dataene dine etter hvor stor skade en lekkasje vil gjøre, og prioritere beskyttelse over tilgjengelighet deretter. Dette kan du gjøre gjennom en ROS-analyse (risiko- og sårbarhetsanalyse). Ved å kartlegge sannsynlighet og konsekvenser av brudd på datasikkerheten, kan man prioritere risikoområder og planlegge tiltak for å forhindre eller redusere konsekvensen av dem.
2. Integritet – sørg for at data ikke forsvinner
Denne siden av trekanten handler om hvor robust dataen din er, og om den kan gå tapt eller endres. Typiske tiltak her er å ta backup av alt som er viktig og ha egne lesetillatelser for utenforstående som trenger tilgang, men som ikke burde ha mulighet til å endre noe. I tillegg burde det være en form for overvåkning som kan varsle deg om uventede endringer blir gjort.
3. Tilgjengelighet – alltid tilgang til dataene
Den siste siden av trekanten handler om tilgangen til dataene dine, og at de alltid er mulig å nå. Brudd på dette kan føre til driftsstans, og koste deg store beløp. Gode tiltak her er redundancy (i praksis å unngå å legge alle eggene dine i én digital kurv), gode krisehåndteringsplaner og beskyttelse mot DDoS-angrep.
Et DDoS-angrep eller tjenestenektangrep (Distributed Denial of Service), er et dataangrep hvor uvedkommende forsøker å hindre at legitime brukere får tilgang til en tjeneste eller informasjon som for eksempel e-post eller nettsider.
Ta tak i datasikkerheten før du blir angrepet
Mindre bedrifter har som oftest ikke tatt hensyn til mer enn to sider av denne trekanten. Om du tenker at «det fungerer helt fint slik det er nå», kan det bety at tilgjengeligheten er ivaretatt, på bekostning av integritet og konfidensialitet.
Tilsvarende ser vi for eksempel utfordringer i helsesektoren hvor konfidensialitet går på bekostning av tilgjengeligheten, elegant illustrert av følgende overskrift:
«Han døde dessverre, men pasientjournalen hans var i hvert fall sikker!»
Dette er vanskelige avveininger som må tas i forkant, før problemene oppstår. Det ansvaret er ditt som daglig leder. Du må ikke gjøre det selv. Vi anbefaler at du involverer profesjonelle. Dersom du ikke innser alvoret, vil du neppe oppdage hvor dårlig verdiene dine er sikret før det er for sent.
Les også: Sats på proaktiv IT-sikkerhet
Hvordan skal du klare å være proaktiv mot cyberkriminelle? Svaret er enkelt: Managed Detection & Response (MDR). Automasjon gjør arbeidet med å følge med på logger og alarmer smertefritt. Samtidig gir MDR deg en ekstra trygghet ved å ha et profesjonelt sikkerhetsteam i ryggen.
Les om Aurskog-Høland kommunes erfaringer med sin nye løsning for IT-sikkerhet eller se dette webinaret:
