At cybertrusler av ulike slag vil øke i fremtiden er det ingen tvil om. Per Gustavsson, CISO hos Stratsys, er overbevist om at alle selskaper og organisasjoner vil bli rammet før eller siden. Økte investeringer i tid og penger vil være nødvendige. Hvis ledelsen i selskapet ikke allerede er med på laget, er det på tide å samle overbevisende argumenter nå.
Kommende bestemmelser og lovkrav
Behovet for styrket sikkerhetslovgivning har økt de siste årene, noe som har ført til nye bestemmelser. Sikkerhetsloven må følges av alle selskaper som driver sikkerhetsfølsom virksomhet. NIS (Network and Information Security) trådte i kraft i 2018 og omhandler cybersikkerhet i EU på et globalt nivå, og har som mål å fremme sikkerhetstiltak og sikre at EUs medlemsstater beskytter den viktigste infrastrukturen. I 2020 trådte nye EU-retningslinjer for cybersikkerhet for banker i kraft, og i 2023 kom DORA (Digital Operational Resilience Act) som skal styrke finanssektorens digitale operasjonelle motstandskraft.
Takket være personvernforordningen ble informasjonssikkerhet og databeskyttelse en sak som måtte håndteres høyere opp i organisasjonen. Det som deretter tvang selskaper til å handle, var at det fantes en bot.
"Jeg tror at ledelsen vil 'jage' organisasjonen på samme måte som med GDPR. Tilsynsmyndigheter vil dele ut betydelige bøter både for NIS2 og DORA, men med en stor forskjell: Den panikken mange følte over GDPR, er nå lettere å håndtere ettersom de fleste organisasjoner har bygget en struktur."
Per Gustavsson, CISO i Stratsys.
Et systematisk informasjonssikkerhetsarbeid
Det er generelt en bedre forståelse for betydningen av informasjonssikkerhet i dag, mener Per Gustavsson. Men det kan fortsatt være utfordrende for deg som CISO å overbevise styret eller ledelsesgruppen om å prioritere investeringene som trengs.
Et sterkt argument for å investere i informasjonssikkerhet er at kundene dine legger stadig større vekt på sikkerhet i dag, og dette vil bare bli viktigere i fremtiden. Grunnleggende for en god beredskap er å ha et velfungerende systematisk informasjonssikkerhetsarbeid, som vanligvis inkluderer en sertifisering i henhold til ISO-27001.
Med en ISO-sertifisering har du tydelige insentiver for at selskapets produkt er sikkert, og at informasjonssikkerhet er prioritert. Selskapet ditt vil dermed stå sterkere mot potensielle konkurrenter som ikke er sertifisert. Har du viktige immaterielle rettigheter (IPR) som kildekode, tegninger, kjemisk formel eller hva det nå enn kan være som er verdifullt, vil du beskytte det.
"At bedrifter investerer i informasjonssikkerhet må bli like selvfølgelig som at ansatte i egenskap av privatpersoner investerer i innboforsikring," sier Per Gustavsson.
Beskytt det som er virksomhetskritisk
I en organisasjon hvor en CIO har ansvaret for IT-systemer, sikkerhet med mer, må denne balansen være mellom mange ulike prioriteringer. For å effektivt selge inn investeringer i informasjonssikkerhet til en CIO, trenger du å fremheve hvordan disse ikke bare kan forbedre sikkerheten, men også bidra til selskapets overordnede mål og strategier. Presenter argumentene dine i en detaljert kostnadsanalyse der du tar utgangspunkt i hva dere omsetter og hva det ville koste dere å stå stille. Hvis dere ikke kan levere deres tjeneste gjentatte ganger, hvor stort kundetap ville dere se? Vei investeringer mot risiko for tap. La oss si at dere blir utsatt for et cyberangrep som gjør at dere taper to millioner i året. Hvis investeringen i et nytt sikkerhetssystem som analyserer trusler er større enn tapet, er investeringen ikke lønnsom. Da bør et billigere alternativ prioriteres sammen med andre prosesser og systemer.
Informasjonssikkerhet kan virke dyrt på kort sikt; noe som kun koster mye penger og gir lite verdi, men det er viktig å påpeke at det ofte fører til betydelige langsiktige besparelser. Hvilke investeringer som trengs avhenger av hvilken type virksomhet som drives, men det må være sentralt å beskytte det som er kritisk for virksomheten. SaaS-selskaper som utvikler programvare må beskytte skytjenesten sin og utviklingen rundt den. Et arkitektfirma må beskytte tegnekontoret sitt og det som skapes der. Selskapet kan trenge å ansette personell, leie inn konsulenter, investere i teknisk utstyr, penetrasjonstester eller programvare. Det som er vanskelig er ikke å motivere til en investering; men å identifisere den rette investeringen basert på den kritiske virksomheten.
“Culture beats process every time”
Men tro ikke at selskapet er sikkert selv om du har investert i et banebrytende sikkerhetssystem. Spørsmålet er ikke om det kommer til å skje noe; men når. Alle selskaper vil bli utsatt på et eller annet tidspunkt, kanskje du til og med allerede har blitt rammet uten å ha merket det. Det som avgjør hvor stor skaden blir, er hvor godt organisasjonen er i stand til å håndtere krisesituasjoner. Så i tillegg til å ha et systematisk informasjonssikkerhetsarbeid på plass, en dedikert CISO og passende systemer; handler det om kulturen og menneskene i organisasjonen.
"Culture beats process every time. Det vil si, hvis dere har en sterk bedriftskultur, kan du stole på at alle gjør jobben sin og vet hvordan de skal handle i ulike sikkerhetsspørsmål. Med de rette strategiene på plass og en transparent og åpen kultur, vil en ansatt som har gjort noe galt ringe meg direkte, og det er akkurat det jeg ønsker."
Hvilket verktøy passer best for informasjonsikkerhetsarbeidet? Les vårt blogginnlegg om nettopp dette her: Fra regneark til proaktiv sikkerhet - råd fra en erfaren CISO.