Kronjuvelerne skal bevogtes

Eksempler på it-sikkerhedsbrister viser, at de kan have fatale forretningsmæssige konsekvenser. Det tvinger den øverste ledelse til at involvere sig. Ifølge en it-sikkerhedsekspert skal ledelsen i dag kigge ud over virksomhedens traditionelle grænser, når den skal sikre virksomhedens vigtigste værdier.

Røgen fra CSC-sagen, hvor bl.a. cpr-numre blev hacket i Rigspolitiets kørekortregister, har endnu ikke lagt sig. Og mens afsløringerne om NSAs aflytninger fortsætter, kaster Se & Hør-skandalen med tys-tys-kilden, der lækkede kreditkortoplysninger fra Nets’ og IBMs systemer, ny benzin på bålet. Tilliden til om virksomhederne er gode nok til at sikre data om borgere, kunder og firmaer er på spil. Det gør spørgsmålet om it-sikkerhed til et anliggende for den øverste ledelse.
Den gode historie er imidlertid, at de nye sager giver ledelserne en åben platform til at skabe forbedringer. Men hvad der måske kan overraske er, at opmærksomheden ikke kun skal rettes mod virksomhedens indre linier.

Læs også: Jeres it-sikkerhedsmur har allerede huller

Cyberrisikoen ligger udenfor virksomheden

It-risici bliver vigtigere og vigtigere for ledelsen i virksomhederne. En undersøgelse foretaget af revisions- og konsulentvirksomheden PwC viser, at 61 % af forbrugerne ville stoppe med at bruge en virksomheds produkter eller tjenester, hvis et angreb resulterede i et sikkerhedsbrud. En anden PwC-undersøgelse afdækker, at 63 % af europæiske CEOs mener, at cyber-angreb vil få indflydelse på deres virksomhed i 2014. Derfor bruges der nu mere tid på it-sikkerhed i direktionsarbejdet, forklarer Mark Hanvey. Han er it-sikkerhedsekspert i PwC. Som Cyber Security Director har han arbejdet som konsulent for bl.a. flere danske virksomheder.

På Dagbladet Børsens it-konference IT Value 2014 fortæller han, at der kommer flere eksempler på, at sikkerhedsbrud og angreb opstår i virksomhedens forsyningskæde:

”Ofte koncentrerer ledelsen sig om, at det administrative netværk til email, filer og webservere er sikret. Men på samme tid kan produktionssystemets netværk være helt uden sikkerhed. Leverandører og samarbejdspartnere har ofte dataopkoblinger til netværket, og dermed er der potentielt adskillige åbne adgange til netværket. Deres risiko er din risiko,” forklarer Mark Hanvey.
Pointen er, at sårbarhederne – eller cyberudfordringen, som Mark Hanvey kalder det, i dag rækker langt ud over virksomhedens egne grænser. Derfor er det nødvendigt for ledelsen også at kigge på kilder til it-risici udenfor virksomheden.

Læs også: It-sikkerhed må gerne være raketvidenskab

Fokuser investeringen i it-sikkerhed

Mark Hanveys kollega, Christian Kjær, der har ansvaret for rådgivning om it-sikkerhed på PwC’s kontor i Danmark, opfordrer til, at man tester og dokumenterer de systemer, som forbinder virksomheden med leverandørkæden. Tankegangen skal være end to end i processer og systemer. For it-kriminelle er ligeglade, hvor de trænger ind i netværket. Typisk tager de hellere den nemme vej end den svære.
It-sikkerhedstruslerne kan stamme fra så forskellige aktører som nationalstater, der udøver industrispionage, organiserede it-kriminelle, der vil berige sig, cyberterrorister eller såkaldte hacktivister med politiske motiver eller medarbejdere, der ubevidst gør virksomheden sårbar eller bevidst udnytter en betroet position.

Erfaringen er, at motiverne varierer, og at metoderne udvikler sig løbende. Samtidig er der mange steder, man kan forsøge at beskytte sin virksomhed, og det kan være umuligt for en virksomhed at forudse, hvornår en sikkerhedsbrist vil blive udnyttet. Derfor er Christian Kjærs anbefaling klar:
”Opgaven er at balancere værdien af virksomhedens aktiver med de ressourcer, man allokerer til at beskytte aktiverne. Men man kan ikke eliminere it-risici lige godt alle steder, så man er nødt til at fokusere sin investering. Det vigtigste at gøre først, er derfor at bevogte virksomhedens kronjuveler – det, der har størst betydning for forretningen,” lyder Christian Kjærs råd.

Ledelsen kan starte med at stille sig selv disse spørgsmål

  • Har vi identificeret vores mest kritiske data-aktiver, og har vi fuldstændig styr på, hvor de opbevares, og hvor de bliver sendt og modtaget?
  • Kender vi værdien af disse data, og ved vi, hvad det betyder for forretningen, hvis kritiske data bliver kompromitteret?
  • Prioriterer vi at beskytte vores kronjuveler bedre end andre aktiver?

Mark Hanvey, Cyber Security Director, PwC UK

Link: Dansk Industris 10 vigtige IT- sikkerhedsinitiativer

Se flere artikler
Der er ikke flere artikler. Se alle aktuelle temaer

Skriv en kommentar

Skriv dit navn og e-mail (e-mail vises ikke) eller log ind via en af dine sociale profiler. Vi bruger kun navn og billede til visning af din kommentar.