Ciscos och Conscias experter berättar hur du kan använda ramverket Zero Trust på användar-, applikations- och infrastrukturnivå – säkra åtkomst, kontrollera angreppsyta och hitta säkerhetshål:Cybersäkerhet på företagets agenda
En hel del stora företag har de senaste åren fått lära sig den hårda vägen; att hantera cybersäkerhet är inte enkelt. Det handlar faktiskt lika mycket om företagsstrategi, kultur och management som om informationssäkerhet. Så hur hanterar en IT-avdelning bäst cybersäkerhet?
I mitt föregående inlägg introducerade jag Governance, Risk, Control – GRC-konceptet och diskuterade de uppnåeliga affärsfördelarna. I följande artikel kommer jag att gå igenom GRC:s tre delar och hur de kan hjälpa till att skapa ett effektivt cybersäkerhetsprogram i din organisation.
Jag börjar med R:et för att associera GRC med liknande frågor ur ett dagligt perspektiv. Cybersäkerhetsrisker kan innebära många tekniska aspekter, men låter mig jämföra essensen av säkerhet med att köra bil.
Risk
När vi kör bil, skapar vi omedvetet vår egen realtidskarta genom att ständigt samla in information, varvid de främsta källorna till information är vår syn på vägen och vår kontrollpanel.
Den här ”trafikbilden” vi står inför utvecklas kontinuerligt, med nya, tysta elektriskt drivna transportmedel, fotgängare med hörlurar eller cyklister med sin uppmärksamhet riktad mot sina smartphones. Listan innehåller också AI-drivna fordon som navigerar med sin egen algoritmbaserade logik.
I samband med GRC innebär “risk” i enkla termer bara att ständigt känna till hela riskkartan som ditt företag står inför. Hanteras din organisations information på ett sätt så att den inte riskerar att skada bilen (företaget), passagerarna (personalen), omgivningen (intressenter) eller föraren (ledningen)?
Du kanske frågar dig själv, om du vill ta en åktur i en bil om A) bilen inte verkade säker och / eller B) föraren körde försiktigt och / eller C) vägen var hal. Jag antar att du antagligen skulle avstå.
På samma sätt kanske du frågar dig själv om dina företagskunder skulle känna sig benägna att komma tillbaka om de inte får veta vilken container som transporterar deras varor. Eller om en av dina underleverantörer upptäcks ha läckt (din) kundinformation.
Att påverka ett företags anseende är långt ifrån trivialt, eftersom oavsett hur snabbt och effektivt cyberattacker dämpas, kommer man komma ihåg att företaget utsatts för intrång .
Governance
Låt oss ta en titt på styrning, G – Governance – och låt oss hoppa tillbaka in i bilen.
Om du väljer att dyka upp vid startlinjen vid Paris-Dakar-rallyt i en stadsbil, ska du inte förvänta dig att vinna loppet, inte ens om alla dina konkurrenter skulle krascha, eftersom en stadsbil inte kan korsa öken och nå mållinjen. Om ditt dagliga sätt att köra innebär att du tar risk efter risk på gränsen för ditt företags kapacitet, bör du förmodligen avsätta pengar för att kunna betala en bot eller två. Eller om det ser ut som regn, kan det vara klokt att göra en servicestopp för att utrusta din Formel 1-bil med regndäck.
Med andra ord är det alltid bra att ställa rätt förväntningar och agera i enlighet med dem. Ett företag måste utvärdera sin riskkarta för att kunna fatta väl grundade beslut om cybersäkerhet. Eftersom IT-miljön bör skydda företaget mot hot utan att för den skull begränsa verksamheten när den tar väl avvägda risker som kan öka företagets intäkter.
Det är här Governance kommer in i bilden.
Governance används för att hitta rätt IT-miljö. En som ger företaget de bästa möjliga förutsättningarna att förverkliga ledningens mål, samtidigt som den nödvändiga säkerhetsnivån säkerställs. Det handlar om att ha rätt, flexibel och smidig blandning av säkerhetsåtgärder, baserade på en riskkarta och företagets ekonomi, strategiska mål, varumärke och kultur. Det här kanske kräver djupare förståelse om organisationens värderingar och mål.
För att sätta detta i mer specifika termer: Om till exempel ett företags cybersäkerhetsbudget är fast på en låg nivå kommer det att ta längre tid att fixa svagheter, och företaget måste fatta smarta beslut i enlighet därmed. Det kan till exempel vara smart att bestämma att slutanvändare inte kan vara lokala administratörer. Detta kan fungera som en lösning tills medel hittas för att implementera en mer permanent lösning kring hur man hanterar privilegierad åtkomst på ett säkert sätt.
Att acceptera lokala administratörer innebär nämligen att acceptera risken för krypto-mjukvara inte kan stoppas. Och om företagsreglerna för utgående trafik är för generösa, kan hackaren inte stoppas från att skicka trafik från organisationen, när hen har lyckats att få tillgång via ett phishing-mail.
Å andra sidan, om det inte är möjligt eller fördelaktigt för företaget att dra tillbaka slutanvändarnas administrativa roller och begränsa utgående trafik, finns det andra sätt att höja verksamhetens cybersäkerhet. De kan välja att övervaka onaturlig datatrafik eller processer som indikerar misstänksam aktivitet eller andra alternativa begränsningar bör övervägas.
Det här innebär helt nya beslut, till exempel att köpa rätt övervakningstjänster kontra anställa egen personal och så vidare. Var och en av dessa beslut bör vara förankrade i samma omfattande förvaltningsplan.
Compliance
Låt oss slutligen återgå till bilen för prata om efterlevnad, Compliance.
Det ultimata målet ur ett Compliance-perspektiv är att nå ett tillstånd där företaget drivs på det mest engagerade och ansvarsfulla sättet, där personalen samarbetar för att minimera misstag. Med andra ord, ett där alla förare i varje bil hela tiden kör med omsorg för att undvika problem i trafiken.
Detta idealtillstånd är minst sagt svårt att nå. Kontroll, system, checklistor, procedurer, processer och mål fungerar bara om organisationen är engagerad och har en gemensam förståelse kring ansvar.
Fråga stormarknader, där berättelser om gamla livsmedel på hyllorna upprepade gånger hittar sin väg till media, trots införandet av nya kontrollsystem samt offentliga ursäkter och löften från toppledningen. Eller fråga Facebook eller Google, vars överträdelser av lagar om dataskydd har kostat företagen mycket i böter.
Compliance kan hjälpa företag att undvika böter och skydda sitt varumärke genom att förändra vanor och engagera personalen att alltid göra rätt sak. När det kommer till cybersäkerhet bör compliance-program (förutom att fastställa riktlinjer) också vara en inspirerande, konstruktiv och coachande upplevelse för de anställda.
För bra compliance är när compliance når en nivå där det handlar om att göra företaget bättre genom att förankra ansvar och engagemang i de dagliga processerna. Med dagens hot mot informationssäkerheten i åtanke, är denna aspekt avgörande för att hålla en tillräcklig cybersäkerhet.
Sammanfattning: 3 steg för att hantera cybersäkerhet
Risk
Skapa en omfattande och kontinuerligt uppdaterad riskkarta som tydligt beskriver de hot om informationssäkerheten som ditt företag står inför.
Governance
Hitta rätt IT-miljö, som kan förverkliga strategiska mål samtidigt som den nödvändiga informationssäkerheten säkerställs.
Compliance
Ändra vanor och skapa engagemang bland personalen, så att alla gör rätt saker när det gäller informationssäkerhet.
Kom igång med GRC
Oavsett om GRC är nytt för din organisation eller om ni har gjort tidigare försök, kan Conscia hjälpa dig komma igång med GRC med vår beprövade och pragmatiska metod.
Våra konsulter har djup erfarenhet inom området och kan hjälpa dig hela vägen från att identifiera behov, mål och hinder till att definiera effektiva åtgärder. Vi kan också hjälpa dig att introducera GRC till ditt företags ledning och personal och beskriva de möjliga affärsfördelarna.
Läs GRC: Hur IT-avdelningar kan sätta IT-säkerhet på företagets agenda (del 1) här.
Henrik Skovfoged är Group Product Director, Security på Conscia. Han har en kandidatexamen i revision och en master i IT. Henrik är Certified Information Systems Security Professional (CISSP) och Certified Information Systems Auditor (CISA) och har under många år arbetat med IT-säkerhet, både ur tekniskt och ur processperspektiv. (Linkedin)
