Som sikkerhedschef er jeg dagligt i kontakt med dygtige tekniske og strategiske it-ledere både i Danmark og udlandet. Jeg bliver tit imponeret og inspireret af den professionalisme og de stærke tekniske kompetencer, som jeg ser på tværs af grænser, kultur og organisationer. Én fællesnævner som jeg ser på tværs, er det ekstremt hurtige tempo hvorpå forandringerne sker. Det er digitalisering i overhalingsbanen, og her er Danmark med i førerfeltet.
Overgangen fra manuelle arbejdsgange, til næsten fuldstændig digitalisering af både arbejdsprocesser og aktiver, foregår dog ofte i så højt et tempo at sikkerhedsfunktionerne ikke kan følge med. Vi har oven i dette den mørke virkelighed, at vi alle har været igennem en finanskrise, der har været dybt begrænsende for manges evne til at investere hensigtsmæssigt, ikke kun for vækst, men også for sikkerheden.
I Danmark har vi efter min mening, indtil for nylig, været noget tilbageholdende med at udforme en national it-sikkerhedsstrategi, der kan hjælpe virksomheder og offentlige organisationer i at udvikle basis sikkerhedspolitikker og at etablere en reel business case for at investere i it-sikkerhed. Resultatet har været at der mange steder er opbygget en virkelighed, hvor der primært har været fokus på at etablere de fundamentale tekniske forsvarsværker, man har vurderet lige akkurat lever op til gældende lovgivning og regulativer. Min egen vurdering er derfor at “standardindstillingen” for it-sikkerhed i en stor del af danske organisationer i dag er “begivenheds baseret” og reaktiv, snarere end proaktiv og strategisk.
Udfordringerne er ofte uoverskuelige
De tilbagemeldinger jeg selv hører fra IT og IT-Sikkerhedschefer, er at deres organisationer føler sig overvældet og ude af stand i at fastslå, hvor de bør investere deres begrænset tid og ressourcer, over for en udfordring der virker uoverskuelig og hvor trusselsbilledet konstant ændrer sig i takt med politisk dagsorden, enkeltstående hændelser og pressens bevågenhed.
Med dønningerne fra de offentliggjorte databrud vi har set i Danmark de sidste år, ligger det største fokus mange steder i aktiviteterne omkring identitetsstyring (roller og ansvar), logning og forsvar mod avancerede angreb. Meget undervurderet er dog ofte fx vigtigheden af brugernes sikre adfærd.
Sikker brugeradfærd kan være en god initial investering
Brugeradfærd spiller fx. en væsentlig rolle i mange af de sikkerhedshændelser vi ser til daglig og mange af de mest avancerede angreb vi ser i dag, er direkte målrettet mod brugeren. Når en fjerdedel af brugere der modtager “Phishingsmails” klikker på de medfølgende links og 10% åbner vedhæftede filer (Verizon Data Breach Investigation Report 2015), kan selv de stærkeste tekniske sikkerhedsforanstaltninger sjældent følge med.
På brugeradfærd kan der faktisk sættes effektivt ind, uden at det behøver at dræne IT budgettet. Moderne undervisning, centreret omkring brugeren, gør faktisk ændring af brugerens adfærd muligt, når det understøttes af konsekvent træning og brug af dagligdags scenarier brugeren kan sætte sig ind i. Vi skal ikke se brugeren som en trussels, men som et kritisk aktiv for vores organisation som vi skal beskytte på samme måde som vi beskytter vores kritiske infrastruktur med teknik.
Når over en tredjedel af danske offentlige ansatte i en undersøgelse (KMD Analyse, Informationssikkerhed i det Offentlige 2014) giver udtryk for, at de kun i nogen eller mindre grad er blevet godt klædt på til at behandle fortrolige personoplysninger i det daglige, er det bekymrende, men også et område hvor der let kan sættes ind.
Prioriter hvad der giver mening for dig
Investering i sikker brugeradfærd, er blot et eksempel på at det er helt nødvendigt at prioritere. Informationssikkerhed handler jo om balance. Balancen imellem forretningens strategi, interne processer, sikkerhedsteknik og ikke mindst vores brugeres adfærd. Overvej derfor hvad truslerne reelt er mod din egen organisation, om der noget du er overset. Er der steder hvor du nemt, hurtigt, billigt og effektivt kan sættes ind for at undgå det næste sikkerhedsbrud. Der skal ikke, nødvendigvis, startes med den dyre komplekse teknologi. Det er nu engang nemmest og mest udbytterit at plukke de lavest hængende frugter først.
God weekend.
Leave a Reply