Informasjonssikkerhet er mye mer enn teknologi


Ni av ti toppledere i mellomstore norske bedrifter forventer datasikkerhetsbrudd.

 

Digi.no presenterer denne uke en en internasjonal undersøkelse som Vanson Bourne har gjort på vegne av NTT Com Security. I alt ble beslutningstakere ved hundre norske bedrifter med minst 250 ansatte, intervjuet.

– Jeg syns det er merkelig at det ikke er større oppmerksomhet rundt informasjonssikkerhet i norske virksomheter. Min oppfatning er at det handler om manglende forståelse av hva informasjonssikkerhet er, hva det innebærer å gjøre noe med det og hva som er konsekvensene av sikkerhetsbrudd, sier Lars Thoresen, nordisk sikkerhets- og kvalitetssjef i NTT Com Security, til digi.no

Det ville ha vært annerledes dersom man hadde samme holdning til informasjon som til penger, mener Thoresen. Begge deler handler om verdier. I undersøkelsen sa de norske beslutningstakerne at de regner med at kostnaden av et sikkerhetsbrudd vil være på i gjennomsnitt tre millioner kroner. Dette inkluderer blant annet tap av omdømme og produksjon.

– Vi ser at mange lærer av slike hendelser, men det er bedre økonomi å investere i riktige tiltak på forhånd. Mange tror de er sikret ved å sette en dings inn i nettverket sitt. Den er sikkert basert på bra teknologi, men teknologi er bare ett av aspektene ved informasjonssikkerheten. Man må fri seg fra det ensidige teknologifokuset. Først og fremst må man vite hva man skal beskytte, før man kan vite hvordan man skal beskytte det, sier Thoresen.

Han peker på at svært mange små og mellomstore bedrifter har en egen økonomisjef, men knapt noen har en egen spesialist på forvaltning av informasjon.

Han mener at IT-sjefen skal få slippe å ha oversikt over hele fagfeltet «informasjonssikkerhet», for dermed kunne få lov til å konsentrere seg om teknologi og tilgjengelighet, mens CISO eller sikkerhetssjef skal fungere som lederens fagrådgiver på hele informasjonssikkerhetsfeltet, samt være «controller».

Det finnes enkle, risikoreduserende tiltak som virksomheter raskt kan gjøre, ved å stille seg selv noen spørsmål.

– Hva er det vi egentlig gjør, hvordan gjør vi det og hvordan blir dette rammet ved et sikkerhetsbrudd. Dette er innledende risikovurdering som kan gjøres på en formiddag, sier Thoresen.

Han understreker at informasjonseierne i bedriften må delta og vurdere verdien av den informasjonen hver enkelt forvalter.

– Kanskje man da finner ut at man ikke har noe særlig å beskytte. Kanskje bare kontaktlisten på mobilen. Da er det jo greit. Eller i motsatt fall, kan det være grunnlag for å gå videre i den samme retningen.

 

Anser mennesker som det svakeste ledd

I nevnte undersøkelse svarte 30 prosent av beslutningstakerne at de anser virksomhetens ansatte som det svakeste leddet i informasjonssikkerhetskjeden. 17 prosent mente at innleid arbeidskraft utgjør den største trusselen. Til sammen ser nesten halvparten av lederne på menneskelige ressurser som det svakeste ledd.

– Bevisstgjøringen skjer ikke ofte nok. Det jevne arbeidet ser man sjelden. Det er ikke nok å blåse støv av dette en gang eller to i året, for da blir det kjempevanskelig, og vanskelig vil det være inntil det blir en del av bedriftskulturen, sier Thoresen.

– Det meste som forsvinner ut av norske virksomheter, skjer via mennesker, for eksempel på grunn av phishing. De aller fleste bedrifter har utbetalt penger til svindlere, ofte uten å vite om det. Det samme har skjedd med informasjon. Et godt utført sikkerhetsarbeid medfører atferdsendring i organisasjonen, understreker han.

 

Kilde og artikkel i sin helhet: Digi.no