Elastisys bjöd, för andra gången denna vår, in ledande säkerhetsexperter i Norrland för att dela kunskap och diskutera cybersäkerhet. Insikter från förra eventet hittar du här. Bland annat leverantörer och ansvariga för samhällskritiska tjänster och andra branschexperter samlades för att under en eftermiddag prata om business continuity och hur man som organisation aktivt jobbar med cybersäkerhet. Bland annat diskuterades frågor som:
- Finns det någon plan?
- Hur förbereder vi oss för att hantera situationen när den uppstår?
- Hur utvärderar vi våra leverantörer?
- Hur får vi säkerhet att prioriteras?
I detta blogginlägg har vi på Elastisys samlat de främsta insikterna från dessa diskussioner.
Prata om det
Det blir snabbt tydligt att cybersäkerhet och säkerhet i stort i en organisation inte bara handlar om riktlinjer och processer, utan om kommunikation. Många pratar inte alls om cybersäkerhet organisationsbrett, utan endast i vissa delar av organisationen. Med det sagt, krävs det att någon är ansvarig för att driva denna fråga och som är ansvarig för att kommunicera detta över hela organisationen. Om alla är ansvariga, så är ingen ansvarig. Vart ligger ansvaret i er organisation, på CISO, på en kommunikationsavdelning, eller mellan stolarna?
Det diskuterades också att cybersäkerhet inte bara är något som behöver få ta plats i de traditionellt IT-tunga sektorerna. Under senaste tiden har vi sett exempel på organisationer som inte förknippas med IT-sektorn som fått ta stora smällar då de utsatts för cyberattacker. Detta ser många som ett uppvaknande och än hur tragiska dessa attacker är, så om man ska se något positivt, har det lett till ett uppvaknande för fler branscher. Framför allt handlar det om att börja prioritera cybersäkerhet, både på grund av den stora förlust av känsliga data det orsakar, de stora ekonomiska tappen, men även för sitt rykte och risken för ett skadat varumärke.
Det måste komma från ledningshåll
Säkerhetskultur börjar från på ledningsnivå och sprider sig sedan nedåt genom organisationen. Det handlar om hur du som ledare agerar och vad du gör och inte bara vad du säger. Som ledare behöver du ta extra ansvar, leda vägen och föregå med gott exempel. Vi är bara människor och människor gör som andra gör, inte som andra säger.
En annan diskussion som uppstod, och som du som sitter i en ledningsgrupp kan påverka, är automatisering av processer. Det ska vara svårt att göra fel helt enkelt. Genom att automatisera de delar i en organisation som går, kan man minska risken för den mänskliga faktorn och därmed minska risken för brister i processen. I denna diskussion återkommer även vikten av kommunikation. Hur du kommunicerar en sådan typ av åtgärd kan göra enormt stor skillnad. I detta fall handlar det om att lägga fram denna åtgärd som en trygghet och inte bara ett extra steg som känns jobbigt eller som en åtgärd för att någon gjort fel. Kan du skapa denna trygghet ökar chanserna att den nya implementerade processen efterföljs, och till och med uppskattas.
Rangordna och prioritera
Det finns hundratals, om inte tusentals, säkerhetsåtgärder att genomföra i en organisation. Så var börjar man och hur ska man prioritera? I gruppen diskuterades vikten av att lägga mer tid på det som är riktigt, riktigt viktigt och mindre tid på andra typer av insatser. Hur avgörs då vad som är riktigt viktigt och vad som kan vänta? Alla är överens om att det bästa sättet att ta reda på detta är genom att sätta sig ner och rangordna de olika insatserna och systemen, samt se vilka åtgärder som är väldigt enkla och billiga att vidta, men som kan ge stor inverkan.
Det är dock en utmaning att genomföra detta rent praktiskt då det kan vara svårt att värdera de olika riskerna. Exempelvis att reducera en risk från nivå 5 till nivå 2, på en skala där 5 är högsta risknivå och 1 är lägsta risknivå, kan vara en relativt billig och enkel insats, medan att ta en risk från nivå 2 till nivå 1 kan vara väldigt dyrt och tidskrävande. Därför är det viktigt att prioritera och väga de olika riskerna mot varandra både genom risknivå, tid, kostnad och övriga resurser som kan finnas.
Kan man bara lita på sina leverantörer?
Som organisation har man oftast många olika leverantörer och system. I många fall förlitar sig företag på att “nån annan” både har och tar ansvar. Vem har egentligen ansvaret och hur vet man det? Detta är frågor som bör finnas svar till och om det inte finns svar i dagsläget, behöver något bli ansvarig för att finna svar och sätta upp en process för detta.
Under kvällen diskuteras det att en anledning till att man ofta bara förlitar sig på sina leverantörer är att branschen är rätt ung och omogen och att det därför inte alltid finns några förväntningar på att granska dem. Vi förlitar oss ofta på certifikat och den kommunikation som leverantören själv skapat. Det som krävs för att ändra på detta är att organisationer faktiskt börjar äga ansvaret för sina val av leverantörer och ser till att analysera dem innan man ingår ett avtal.
Vad är värdet av säkerhet?
Vad kostar det om vi förlorar produktionen under en viss tid? Hur mäter vi säkerhet? Och vad innebär den totala smällen efter en attack? Kanske behöver vi börja tänka baklänges och se hur mycket en cyberattack faktiskt kan kosta oss och hur mycket resurser det kan vara värt att lägga på att förebygga detta och ha en plan om vi skulle bli utsatta för en cyberattack.
Det finns konsekvenser som man inte kan komma undan, oavsett hur snabbt man skulle vidta åtgärder och vara uppe igen. Exempelvis förlorad persondata och ett skadat varumärke. Alla är överens om att om man mäter kostnaderna för ett förlorat varumärkesförtroende så är det förödande - det får helt enkelt inte hända, och det kommer att påverka varumärket på ett eller annat vis.
Precis som på den föregående träffen (vars insikter du kan läsa här) så diskuterades det existerande icke-intresset av att jobba med säkerhet. Personer som jobbar med säkerhet bedöms ofta inte på hur de jobbar med just säkerhet, utan på andra prestationer. I värsta fall bedöms de endast om en säkerhetsbrist uppstår som skapar negativ inverkan på organisationen. Att jobba med säkerhet kan därför vara rätt otacksamt. En åtgärd för att motarbeta detta är att försöka kvantifiera säkerhet och säkerhetsarbetet.
Ett sätt att kvantifiera säkerhet kan vara genom KPIer för att prioritera och mäta säkerhet på kulturnivå snarare än i siffror och kod. Mätbara KPIer på kulturnivå som diskuterades under kvällen var exempelvis: Hur ofta pratar vi om säkerhet? Hur ofta har vi säkerhetsworkshops? Hur många incidenter har vi fått in senaste månaden? Vilka åtgärder har vi genomfört eller planerat att genomföra?
Slutsatser
Efter kvällens diskussioner konstaterar vi vikten av kommunikation och att det finns någon som är ansvarig för att driva säkerhetsfrågan framåt. För om alla är ansvariga, så är ingen ansvarig. Som i många andra områden blir det även viktigt att det kommer från ledningsnivå och att det inte bara sker när andra cyberattacker blir aktuella publikt. Det handlar om business continuity, och med det krävs kontinuitet för att lyckas. För att framgångsrikt jobba med cybersäkerhet krävs även en plan, både för hur man ska jobba med säkerhet på organisationsnivå, men även en plan om en cyberattack skulle ske.
Att säkerhet ska bli en prioriterad fråga är något som är en ständigt återkommande utmaning för många organisationer. Ett första steg kan vara att prioritera olika säkerhetsåtgärder och skapa KPIer på kulturnivå för att på ett enklare sätt kunna mäta och utvärdera organisationens säkerhet och därefter genomföra åtgärder. Och glöm inte, du är ansvarig för att granska dina leverantörer och se till att de uppfyller de krav som ställs, både av din organisation och från lagar och regelverk.
Deltagande:
Pär Vidmark (IT Advizors), Markus Örebrand (Omegapoint), Mats Olsson (Volvo), Daniel Cronström (Nordlo), Simon Ekman (Elastisys), Johan Tordsson (Elastisys), Hans Olof Edblom (Elastisys), m.fl.
