Gå til innhold
keyboard_backspace Fagblogg keyboard_backspace Tre områder for bedre digital sikkerhet

Tre områder for bedre digital sikkerhet

6. desember 2019
Odd Egil Pedersen
Odd Egil har 40 år bak seg i Forsvaret og NATO, med særlig erfaring innen digital samfunnssikkerhet.

Med kontroll på disse tre områdene kan du som leder sove bedre om natten – uten å få mareritt om digitale angrep.

Digitale trusler kan få enhver leder til å skjelve i buksene. Vi hører stadig om virksomheter som har havnet i seriøse vanskeligheter etter å ha slurvet med sikkerhet eller personvern. Alvorligheten i situasjonen understrekes også av at våre Etterretnings-, Overvåknings- og Sikkerhetstjenester (EOS) peker på dette som en av de største truslene for samfunnet vårt. Truslene kommer gjerne fra kriminell virksomhet, med eller uten støtte fra statlige aktører i andre land.

Virksomhetene som virkelig havner i trøbbel, er gjerne de som kommer for sent i gang med tiltakene. Digitale angrep er nemlig langt enklere å verge seg mot om man gjør de nødvendige tiltakene før man faktisk blir rammet. Har man først fått ondsinnet kode på den digitale infrastrukturen i virksomheten, er det svært ressurskrevende å få det bort. Om du da i det hele tatt greier det.

Så i hvilken ende begynner man egentlig? Etter min mening er det tre områder man som leder for en virksomhet har plikt til å ha kontroll på, for å kunne si at man tar digital sikkerhet på alvor.

1. Sørg for at toppledelsen tar ansvaret

Det første handler om å innføre et ledelsesstyrt sikkerhetssystem som favner hele virksomheten og integreres i den rutinemessige styringen av virksomheten.

Det er vanlig at IT-sjefen ender opp med ansvaret fordi trusselen er digital. Men slike trusler favner mye bredere enn kun IT-området, og må derfor håndteres helhetlig for virksomheten. Det er i toppledelsen ansvaret for virksomhetens verdier og aktiviteter sitter. Uten lederens oppmerksomhet mot trusselen, sårbarhetene og risikoene, blir det svært vanskelig å få til gode løsninger for IT-sikkerhet. Dette gjelder uansett hvor god IT-sjefen er.

2. Sørg for god opplæring av alle ansatte

Det er vanlig at de som jobber i en virksomhet – både ansatte og ledelsen – har lav kompetanse på hvilke risikoer som finnes. Det bør derfor legges opp til rutinemessig intern opplæring som inkluderer trening og øvelser.

I min forrige jobb i Nato, ble det eksempelvis startet et mentorprogram i cybersikkerhet for ledergruppen. Folk fra egen sikkerhetsorganisasjon, med støtte fra private rådgivningsfirma, gjennomførte flere runder med instruksjon og samtaler om aktuelle saker relatert til vår jobbfunksjon som ledere.

I tillegg måtte alle medarbeidere møte opp til sikkerhetsinstruksjon en gang i året, for i det hele tatt å få lov til å ha en brukerkonto. Møtte man ikke opp, ble kontoen midlertidig stengt inntil opplæring var gjennomført.

Det er også en god investering å gjennomføre kriseøvelser med jevne mellomrom. Ta utgangspunkt i noen av virksomhetens sårbarheter og øv på en hendelse som faktisk kan skje, selv om sannsynligheten er liten. Kriseøvelsen kan gjennomføres som «bord-øvelse» for ledergruppen eller omfatte deler av eller hele virksomheten. Enkle øvelser kan være en meget rimelig og god investering.

3. Sørg for en sterk sikkerhetskultur

Det tredje området jeg vil anbefale å arbeide med er virksomhetens sikkerhetskultur, for å demme opp for hvordan digitaliseringen av samfunnet vårt hele tiden skaper nye sårbarheter.

Et eksempel: Tidligere i år fikk Oslo kommune en millionbot fra Datatilsynet på grunn av sikkerhetshull i en skoleapp og svakheter i sikring av persondata. Det er overraskende at slikt skjer. Det er jo så mange flinke folk involvert!

Men selv om det er flinke folk involvert, kan det oppstå feil. Det er derfor en god investering å arbeide målrettet med sikkerhetskultur i virksomheten og hele tiden stille spørsmål ved det man implementerer av hjelpemidler og arbeidsprosesser. En våken organisasjon er kanskje det billigste tiltaket en virksomhet kan satse på.

Det er viktig å være klar over at med dagens trusselbilde vil våre virksomheter aldri være 100 prosent sikre. Men satser man på disse tre områdene, er man mye bedre rustet mot digitale farer. Å være føre var kan spare virksomheten for millionbeløp.

Team-leder Norge

Odd Egil Pedersen

Med sine 40 års erfaring fra Forsvaret og NATO er Odd Egil en nestor innen samfunnssikkerhet, beredskap og krisehåndtering. Før han kom til oss jobbet han i Belgia med hovedansvaret for NATOs militære partnerprogram. Han har lang erfaring fra Forsvaret med å drifte, beskytte og anskaffe digital infrastruktur, også i samarbeid med sivile aktører i samfunnskritiske sektorer. Nå som Odd Egil er hjemme igjen, setter han særlig pris på nærheten til den norske fjellheimen. Her finner du ham gjerne på tur sammen med familie og venner.
Fagområde:
Samfunnssikkerhet og beredskap