De velkendte sikkerhedsråd, om at få en firewall, køre lidt antivirus og at have en backup-løsning, bør smides ud, hvis du spørger en af Danmarks store it-sikkerhedseksperter. For de er ganske enkelt ikke nok længere.
”Tiden, hvor it-afdelingen blot var nogen, der periodisk skulle have penge til lidt firewalls og backup servere, er forbi. Digitale løsninger er simpelthen blevet så forretningskritiske, at mange virksomheder har brug for at gentænke hele deres tilgang til cybersikkerhed.”
Så markant lyder beskeden fra Leif Jensen, forretningsansvarlig i it-sikkerhedsvirksomheden ESET.
Hans pointe er, at hvis man alt for hurtigt begynder at tænke i produkter og services, så ender man med at gøre sig selv en bjørnetjeneste, der kan koste både penge, ressourcer og kunder. Der er derfor behov for at kigge ud over de gængse ”kostråd” om firewall, antivirus og backup, hvis man for alvor vil styrke sikkerheden i virksomheden.
Sikkerhed handler om at have holdning
Over de seneste år er det blevet mere og mere tydeligt, at sikkerhedstruslen er stigende. Antallet af angreb stiger dagligt og bliver hele tiden mere sofistikerede. Samtidig stiger antallet af enheder og computere i virksomhederne, medarbejdere installerer og kobler på systemer fra alle mulige steder, og data ligger placeret på servere og harddiske både indenfor og udenfor virksomheden. Sikkerhedsrisikoer man ikke længere kan løse blot ved at købe et stykke software, men som skal løses på ledelsesniveau.
”Skal man forbedre sikkerheden, er det først og fremmest vigtigt, at man får en holdning til det på ledelsesniveau. Man skal være enige om, hvilken risiko man er klar til at løbe i forretningen, hvis man bliver angrebet. For uden den bevidsthed kommer man ingen vegne,” siger Leif Jensen.
Det første, man skal gøre, er derfor at tage en snak om, hvor kritisk det vil være, hvis forskellige systemer f.eks. er nede i en uge, hvis ens data pludselige findes til salg på det mørke internet eller hvis ens kommunikation eller betalinger med kunder og leverandører lammes. Leif Jensen anbefaler, at man helt lavpraktisk udarbejder en liste over de forskellige konsekvenser, et cyberangreb kan have for virksomheden, og derefter rangerer dem i forhold til, hvor kritiske de vil være for forretningen.
Fokuser på de største huller
Når man har lavet listen over de mulige konsekvenser, og hvor kritiske der vil være for forretningen, kan man udarbejde en gap-analyse. Her skal man kigge på virksomhedens nuværende sikkerhedsniveau og se, om det nuværende setup er godt nok til at kunne håndtere en af de identificerede konsekvenser eller om man kan leve med, at det kan ske. Er ens eksisterende setup ikke godt nok, og kan man ikke leve med konsekvensen, så skal man udarbejdet en plan for at få det fikset.
”Først når man har beskrevet og rangeret de forskellige scenarier og konsekvenser samt identificeret de største huller, giver det mening at tage fat i leverandørerne for at høre, hvad de kan hjælpe en med,” siger Leif Jensen.
Find en leverandør der ikke taler it
Selvom Leif Jensen selv arbejder for en it-sikkerhedsvirksomhed, advarer han mod, at man blindt bare tager imod alle de tekniske løsninger, som man ofte vil blive præsenteret for. Faktisk anbefaler han, at man siger pænt nej tak til et samarbejde, hvis leverandøren taler for meget produkt og teknik. Hans erfaring er, at man skal bruge tid på at finde en partner, der taler i et sprog, som du forstår. En som er god til at fokusere på, hvad du overordnet skal beskyttes imod, uden hele tiden at skulle gå ned under motorhjelmen og forklare specifikke features i sit produkt.
”Hvis en leverandør ikke i helt normale vendinger kan forklare dig, hvordan han f.eks. kan sikrer dig mod datatyveri, så bør du ganske enkelt finde en anden,” fortæller Leif Jensen.
