Det går inte en dag utan att data stjäls eller personliga och professionella enheter infekteras med okänd skadlig programvara vid nya cyberintrång. Att den amerikanska regeringen ger samma belöning, 10 miljoner USD, för information om cyberbrottslighet som för information om eftersökta terrorister avslöjar hotets dignitet idag. Med den här bakgrunden: Hur hanterar företagsledningen risker och hur fördelas en IT-säkerhetsbudget på bästa sätt?
Bara under det senaste året har det skett cyberattacker mot ett av världens största IT-hanteringsverktyg, Kaseya, den amerikanska oljeleverantören Colonial, och den brasilianska nöt- och fläskleverantören JBS, samt kritiska fel i Microsoft och Apache Foundations programvara.
En jämförelse mellan cyberattacker under 2009 och 2020 visar att metoderna har förändrats mindre än man skulle kunna tro. Cybersäkerhetsutbildning för företagsledning och anställda är därför fortfarande en central del av försvaret.
Företagsledning och IT-säkerhet
Styrelsens ansvar är att se till att ledningsgruppen har en plan, är förberedd och att hela organisationen står rustad inför en eventuell attack. Frågan är inte om en attack kommer att hända.
Realistiska frågor är:
- När kommer attacken att ske?
- Är organisationen förberedd på intrångsdetektering?
- Är organisationen redo för att spåra attacken?
- Kan efterdyningarna av attacken mildras och kan verksamheten återgå till det normala ASAP?
Cybersäkerhet är allt för affärskritiskt för att enbart hanteras av IT-chefen. Riskerna är så stora att hela ledningen måste känna till dem:
- VD bör känna till potentiella konsekvenserna vid cybersäkerhetsrisker.
- VD bör se IT-säkerhet som en strategisk affärsrisk som berör hela företaget, inte bara IT-miljö.
- VD bör förvänta sig att ledningen implementerar en strategi för hantering av IT-säkerhetsrisker.
- Styrelsen måste ha tillgång till professionell kunskap om cybersäkerhet och riskerna bör utvärderas ofta.
- Ledningen bör utvärdera och identifiera finansiell exponering vid cybersäkerhetsrisker, förbereda planer för varje hot och allokera en IT-säkerhetsbudget baserat på reella risker.
Ovan stämmer ännu mer efter tillkomsten av NIS2-direktivet som breddar ansvaret till individer i ledningen hos samhällsviktiga verksamheter, inte bara till samhällskritiska sådana. Missa inte Conscias webinar om NIS2.
Hur fördelar du en IT-säkerhetsbudget optimalt?
Många företag och organisationer sätter en cybersäkerhetsbudget utifrån antagandet att de förmodligen aldrig kommer utsättas för en attack och lär sig den hårda vägen att attacker kan inträffa för vem som helst, när som helst.
Eftersom attacker ofta sker slumpmässigt och är automatiserade är det oväsentligt om företaget är stort eller litet. Det är som att vara en lerduva på en skjutbana. Så länge din organisation använder mjukvara eller hårdvara med okända sårbarheter är du potentiellt måltavla för en attack.
Ett av de största misstagen är att försöka sänka den riskbilden genom att fördela cybersäkerhetsresurserna jämt till alla områden. Resultat brukar bli för lite resurser till högriskområden och för mycket till till lågriskområden. För många organisationer är leverantörskedjor och den bakomliggande tekniken de mest affärskritiska områdena, som bör prioriteras. En snabb säkerhetsbedömning utifrån det oberoende säkerhetsramverket CIS Controls kan visa vilka områden som är mer eller mindre väl skyddade jämfört med ett branschgenomsnitt. Se Conscias guide om CIS Controls:
IT-säkerhetsbudget och risker – vad är första steget?
Ett uppdaterat cyberförsvar hjälper ledningen att identifiera, mildra och transformera affärskritiska risker. Analys och identifiering av risker är en utmärkt utgångspunkt för investeringar som betyder att resurser satsas där där de gör mest nytta.
Tillsammans med Conscias experter kan du kartlägga vilka säkerhetskontroller din organisation har idag. Det blir en utmärkt utgångspunkt för att planera nödvändiga åtgärder, sätta målbilder och försäkra dig om att ditt företag är redo för det värsta.
Vill du ha hjälp med att analysera aktuella risker och optimala insatser?
Artikeln publicerades för första gången i MQ magazine (#50, 2022).