IT-säkerhetsarbetet reduceras till en teknisk fråga
Alltför ofta betraktas cybersäkerhet som något som IT-avdelningen hanterar.
Det är en av de största anledningarna till att den generella säkerhetsmognaden i många verksamheter är låg. Särskilt nu när både NIS2 och den svenska cybersäkerhetslagen ställer krav på styrning, systematik och ansvar ända upp i ledningen blir denna syn extra kontraproduktiv ur en samhällskontext med tanke på dagens hotbild.
Många organisationer likställer säkerhetsarbete med att köpa in nya tekniska skydd som till exempel brandväggar, antivirus eller avancerade övervakningssystem. Men tekniken i sig skapar inte en tillräcklig motståndskraft. Utan en aktiv systemförvaltning, kontinuerliga systemuppdateringar och tydligt systemägarskap blir dessa tekniska skydd snabbt ineffektiva.
Daniel Reinholdsson, VD för Cyber Defencely
Samtidigt satsas stora resurser på nyutveckling och nya tekniska lösningar, medan ett av det viktigaste arbetsuppgifterna i säkerhetsarbetet försummas: att vårda och säkra upp de informationssystem som redan finns i drift. Resultatet är en växande teknisk skuld, system som ingen vill ta ansvar och informationssystem som äventyrar den digitala motståndskraften.
Efterlevnad av lagstiftning kräver aktiv systemförvaltning
Varken NIS2 eller den kommande svenska cybersäkerhetslagstiftningen nöjer sig med policies och punktinsatser. Kraven är tydliga: verksamheten måste kunna visa på systematik att man både investerar i adekvata tekniska skydd och bedriver en aktiv förvaltning av informationssystemen.
Det innebär:
- En tydlig styrmodell för IT och digitalisering som möter verksamhetens behov
- En tydlig förvaltningsmodell med tydliga roller och ansvar
- Versionshantering, patchning och kontinuerliga säkerhetsuppdateringar
- Avveckling av gamla system innan de blir obsoleta
- Incidentberedskap, återställningsplaner samt kontinuitetsplanering och regelbunden övning för att säkerställa en beprövad förmåga
- Ledningsförankrade prioriteringar som uppmanar till att prioritera informationssystem i drift
Brist på aktiv systemförvaltning öppnar dörren för intrång
De flesta stora dataintrång de senaste åren har haft samma grundorsak: undermålig systemförvaltning och IT-drift där informationssystem inte underhållas och avvecklats. När en aktiv förvaltning inte prioriteras uppstår:
- Reaktivt brandsläckande i stället för långsiktigt skydd
- Verksamhetskritiska system står utan rätt säkerhetsuppdateringar
- En falsk trygghet gällande motståndskraften
- Det riskdrivna säkerhetsarbetet uteblir
- Ad hoc-hantering av incidenter, utan en tydligplan eller ansvarsfördelning
Ledningen måste skapa förutsättningar för en aktiv systemförvaltning
Vill du ha en säker och motståndskraftig verksamhet? Då räcker det inte med tekniska skydd. Det är ledningens ansvar att skapa förutsättningar för aktiv förvaltning. Här är några bra tips:
- Investera i tekniska skydd, men se till att de underhålls och implementeras till fullo
- Säkra en aktiv förvaltning, budgetera tid och resurser för uppdateringar och livscykelkontroll
- Säkerställ att din CISO och CIO har en kontinuerlig dialog
- Ställ krav på systemägarna och uppmuntra och stötta dem när de tar ansvar
- Integrera systemförvaltningen i verksamhetsstyrningen, gör säkerhet och förvaltning till en del av verksamhetsplanen.
- Säkerställ tillgång till rätt kompetens, både inom förvaltning och som beställare
- Följ upp så att förvaltningsmodellen efterlevs
För att skapa en motståndskraftig och robust verksamhet så krävs en aktiv systemförvaltning.
Så nästa gång du frågar vad IT-avdelningen gör för att skydda organisationen – ställ frågan: Vad gör vi i ledningen för att skapa motståndskraft genom att skapa förutsättningar för en aktiv förvaltning av våra informationssystem?
Svaret på den frågan avgör om din verksamhet är redo för den nya lagstiftningen och om det är en kugge att lita på i maskineriet Sverige AB.
Cyber Defencely – information och cybersäkerhet
