Med kontroll på tre områder kan du som leder sove bedre om natten – uten å få mareritt om digitale angrep.
Digitale trusler kan få ledere i trøbbel. Vi hører stadig om virksomheter som har havnet i seriøse vanskeligheter etter å ha slurvet med sikkerhet eller personvern. Alvorligheten i situasjonen understrekes også av at våre Etterretnings-, Overvåknings- og Sikkerhetstjenester (EOS) peker på dette som en av de største truslene for samfunnet vårt. Truslene kommer gjerne fra kriminell virksomhet, med eller uten støtte fra statlige aktører i andre land.
Virksomhetene som virkelig havner i trøbbel, er gjerne de som kommer for sent i gang med tiltakene. Digitale angrep er nemlig langt enklere å verne seg mot om man gjør de nødvendige tiltakene før man faktisk blir rammet. Har man først fått ondsinnet kode på den digitale infrastrukturen i virksomheten, er det ofte svært ressurskrevende å få det bort. Om du da i det hele tatt greier det.
Så i hvilken ende begynner man egentlig? Etter min mening er det tre områder man som leder for en virksomhet har plikt til å ha kontroll på, for å kunne si at man tar digital sikkerhet på alvor.
1. Sørg for at toppledelsen tar ansvaret
Det første handler om å innføre et ledelsesstyrt sikkerhetssystem som favner hele virksomheten og integreres i den rutinemessige styringen av virksomheten. De årlige rapportene fra Næringslivets Sikkerhetsråd viser at det fortsatt er mange som ikke gjør dette skikkelig.
Det er vanlig at IT-sjefen ender opp med ansvaret fordi trusselen er digital. Men slike trusler favner mye bredere enn kun IT-området, og må derfor håndteres helhetlig for virksomheten. Det er i toppledelsen ansvaret for virksomhetens verdier og aktiviteter sitter. Uten lederens oppmerksomhet mot trusselen, sårbarhetene og risikoene, blir det vanskelig å få til gode løsninger for IT-sikkerhet. Dette gjelder uansett hvor god IT-sjefen er.
2. Sørg for god opplæring av alle ansatte
Det er vanlig at de som jobber i en virksomhet – både ansatte og ledelsen – har lav kompetanse på hvilke risikoer som finnes. Det bør derfor legges opp til rutinemessig intern opplæring som inkluderer trening og øvelser. En del av treningen kan foregår foran egen arbeidsmaskin via interne opplæringsmoduler. Vi i Trifid har hjulpet kunder med å lage slike.
I min siste jobb ble det startet et mentorprogram i cybersikkerhet for ledergruppen. Folk fra egen sikkerhetsorganisasjon, med støtte fra private rådgivningsfirma, gjennomførte flere runder med instruksjon og samtaler om aktuelle saker relatert til vår jobbfunksjon som ledere. Det var nyttig.
I tillegg måtte alle medarbeidere møte opp til sikkerhetsinstruksjon en gang i året, for i det hele tatt å få lov til å ha en brukerkonto. Møtte man ikke opp, ble kontoen midlertidig stengt inntil opplæring var gjennomført. Opplæringen ble gjennomført av sikkerhetsleder med støtte fra IT-organisasjonen.
Det er også en god investering å gjennomføre kriseøvelser med jevne mellomrom. Ta utgangspunkt i noen av virksomhetens sårbarheter og øv på en hendelse som faktisk kan skje, selv om sannsynligheten er liten. Kriseøvelsen kan gjennomføres som «bord-øvelse» for ledergruppen eller omfatte deler av eller hele virksomheten. Enkle øvelser kan være en meget rimelig og god investering.
3. Sørg for en sterk sikkerhetskultur
Det tredje området jeg vil anbefale å arbeide med er virksomhetens sikkerhetskultur, for å demme opp for hvordan digitaliseringen av samfunnet vårt hele tiden skaper nye sårbarheter. Det som var god praksis i går, er ikke nødvendigvis det i morgen.
Et eksempel: Både Bergen og Oslo kommune og Norges Idrettsforbund har fått millionbøter fra Datatilsynet på grunn av sikkerhetshull i en skoleapp og svakheter i sikring av persondata. Dette er tilfeller som er kjent gjennom mediene våre, men det finnes mange flere. For Trifid er det overraskende at slikt skjer. Det er jo så mange flinke folk involvert.
Men selv om det er flinke folk involvert, kan det oppstå feil. Det er derfor en god investering å arbeide målrettet med sikkerhetskultur i virksomheten og hele tiden stille spørsmål ved det man iverksetter av hjelpemidler og arbeidsprosesser. En våken organisasjon er kanskje det billigste tiltaket en virksomhet kan satse på.
Det er viktig å være klar over at med dagens trusselbilde vil våre virksomheter aldri være 100 prosent sikre. Men satser man på disse tre områdene, er man mye bedre rustet mot digitale farer. Å være føre var kan spare virksomheten for millionbeløp.