Når dere snakker om digitalisering og sikkerhet – hva er norske ledere mest opptatt av, og hvordan har dette utviklet seg de siste tyve årene?

– En vesentlig endring de siste årene er at ledelsen i virksomhetene generelt har større forståelse for betydningen av IT-sikkerhet. IT-sjefene vet at det ikke nødvendigvis bare er å starte med blanke ark igjen dersom man utsettes for et cyberangrep. Erkjennelsen av at tjenester eller data plutselig kan forsvinne som følge av et angrep, har blitt tydeligere de siste årene.

– Stadig flere ledere ønsker at vi skal bistå med preventivt arbeid, og her er det som regel nok å ta tak i. For det som ikke har endret seg så mye de siste tyve årene, er mangelen på oversikt, backup og sporbarhet, samt svake sikkerhetsrutiner rundt innlogging. Når vi blir kontaktet av virksomheter som nylig har blitt utsatt for angrep, er ledelsen naturligvis mest opptatt av å få angriperne ut, og få opp igjen tjenester og data. Det er gjerne krevende arbeid. Det er veldig vanlig at en slik akutt fase blir etterfulgt av en fase hvor preventivt arbeid får fornyet fokus, sier Forfang.

Er det noen forskjell mellom offentlig og privat sektor? Er de opptatt av det samme?

– Offentlig sektor har kanskje noe mer fokus på personvern og lagring i amerikansk sky i kjølvannet av den såkalte Schrems 2-dommen. Offentlig sektor har også tidvis andre lovpålagte krav, slik som arkivloven og sikkerhetsloven, som kan være med på å farge prioriteringene. Avveiningene mellom å høste gevinstene av teknologien hva effektivitet og innovasjon angår, mot det å gjøre riktige risikodisponeringer, er mer framtredende i offentlig sektor.

computas it sikkerhet.jpg

Hvordan kan ledere styrke sin virksomhet innenfor digital sikkerhet?

– Dette med at man må regne det som sannsynlig at virksomheten kommer til å bli utsatt for et vellykket cyberangrep sett i et lengre tidsperspektiv. Løsepenger, tap av virksomhetskritisk eller personsensitiv informasjon, endring av informasjon, bortfall av tjenester – det er konsekvenser man må ha en plan for å håndtere. Det er på mange måter et tektonisk skifte her – mange tenker nå vel så mye på hvordan de skal reise seg raskt etter at huset har brent ned, som på å sørge for at det ikke brenner. Norske virksomheter må ha planer for krisehåndtering og videre drift av virksomheten etter et angrep.

– Kan man egentlig sikre seg 100 prosent uten at det får store konsekvenser for måten vi har blitt vant til å jobbe på? – Nei. Det er fremdeles grunnleggende at sikkerhet koster, både hva produktivitet og fokus angår. Hvis du har følelsen av at sikkerhet ikke koster noe, så har du enten ikke så mye å miste eller så har du ikke god sikkerhet. Men dersom man skal være 100 prosent sikret på alle områder, blir kostnaden nesten uendelig og produktiviteten rammes brutalt. Så det gjelder å finne en god balansegang og akseptabelt nivå på risiko man kan tåle versus kostnaden ved å sikre seg.

– Hvordan finner ledelsen en god balansegang når de skal jobbe med cybersikkerhet? – Det viktige for de fleste vi jobber med er å ha en god tilnærming til kontinuerlig risikoforvaltning for å hele tiden vurdere på hvilke områder virksomheten må være best sikret. Det er også viktig å finne en passende avveining mellom planer for katastrofehåndtering og investering i preventivt arbeid. En ting vi ofte fokuserer på er at det er forskjell på å sikre huset en gang og det å være trygg på at det er sikret hele tiden ettersom måneder og år går. Styring, livssyklus og endringshåndtering er nøkkelord her.

computas it.jpg

Hvordan er fremtidsutsiktene for cybersikkerheten til norske virksomheter?

– De aktørene som har god styring, risikohåndtering, en ærlig dialog om hva som er viktigst for virksomheten, og et opplegg tilpasset det, er godt forberedt. Det er viktig å ha tilgang til spisskompetanse på feltet. Cyberangrepene blir stadig mer sofistikerte. En stor andel av angrepene som lykkes, skyldes menneskelige feil på bakgrunn av manglende kompetanse blant de ansatte. Så det er også klokt å investere i kontinuerlig kompetansebygging og bevisstgjøring blant de ansatte i virksomheten. Kort sagt - det er mange grep man kan ta for å redusere risikoen for angrep, og ikke minst være godt forberedt dersom et angrep skulle ramme virksomheten, avslutter Forfang.

Slik kan Computas hjelpe din virksomhet med IT-sikkerhet:

  • Vurdere virksomhetens sikkerhetsstatus
  • Dele kunnskap og beste praksis
  • Gjøre preventive tiltak for å bedre IT-sikkerheten
  • Benytte skyplattformer som Microsoft Azure og Google Cloud på en trygg måte
  • Drive kompetansebygging for virksomhetens ansatte for å redusere risiko for cyberangrep

Les mer på: computas.com/sikkerhet