Det viktigste med IT-sikkerhet er ikke å oppdatere systemer eller å kjøpe inn sofistikert software og avansert hardware, men å sørge for at de som jobber i virksomheten har IT-sikkerhet i DNA-et sitt.
– Med koronautbruddet har behovet for beskyttelse blitt enda større enn før, fordi mye mer av kommunikasjonen skjer digitalt. Vi er i en slags tvangsdigitaliseringsfase. Angripere prøver å utnytte situasjonen og vil forsøke å komme seg inn i alle åpninger de finner, sier Simen Sommerfeldt, teknologidirektør i konsulentselskapet Bouvet.
Sommerfeldt påpeker at IT-sikkerhet ikke bare handler om dataangrep, men at begrepet favner mye bredere. Vi opplever fra tid til annen sikkerhetslekkasjer fra sykehus og kommuner, eller persondata som kommer på avveie på grunn av mangelfulle rutiner. Andre eksempler er epostangrep, målrettede angrep fra fremmede makter, utpressing og angrep fra hackere som driver automatisk skanning på internett på leting etter kjente feil og sikkerhetshull i datasystemer.
– Bildet er sammensatt. Derfor kreves det gode rutiner for å unngå at sikkerhetsbrudd skjer. Man bør lage et risikobilde for å skjønne hva som kan skade deg og forsøke å lage tilpassede tiltak. Du trenger også rutiner som gjør at du forstår det om du blir angrepet, og at du har evnen til å begrense og isolere skaden hvis det skjer. Det som må på plass er et ledelses- og teknologisamspill, fortsetter Sommerfeldt.
Gjør det attraktivt å bli god på sikkerhet
Sikkerhet er ikke ett enkelt fag, men et dynamisk fagfelt hvor behovet for kunnskap vil endre seg ut fra hvilken rolle man har. Bouvet organiserer sin satsing på sikkerhet med hovedvekt på endringsledelse og kommunikasjon. De startet med å avdekke hvilke roller de har i organisasjonen, gi dem målrettet kompetanseøkning, lage enkle oppskrifter og ta vekk mentale hindre.
– Helt konkret lagde vi et kommunikasjonsrammeverk som var målrettet mot de ulike rollene. Vi krydrer kommunikasjonen med passende innkjøpte tegneseriestriper fra Lunch, og videosnutter fra en komiker. I tillegg omfavner administrerende direktør sikkerhetsarbeidet i sine uttalelser. Vi gjennomfører også interne konkurranser, som gjør det attraktivt å være god på sikkerhet, forklarer teknologidirektøren.
Simen Sommerfeldt
Teknologidirektør i Bouvet
En nyttig verktøykasse
Bouvet har laget en verktøykasse med sikkerhetsperspektiver slik at alle ansatte skal kunne lese seg opp på de temaene som er viktig for akkurat sin rolle.
– Vi startet med ledelsen, for de må få dette inn i språket sitt og vite hva de skal forvente av medarbeidere i forskjellige roller. Verktøykassen gjør at vi nå har et felles vokabular. Den gjør det enklere å snakke om sikkerhet og å bake sikkerhet inn i alle våre rutiner. For eksempel bør de som jobber med økonomi være klar over det som blir kalt direktørmailer, en type svindelmail som gjerne kommer i forbindelse med ferier og hvor det ser ut til at direktøren godkjenner en utbetaling. Andre eksempler der man bør være på vakt kan være forsøk på svindelmail. Disse mailene kan ofte være veldig godt designet, derfor er det viktig å være bevisst på de mailene du mottar og hvordan du behandler dem. I tillegg har vi jo perspektiver for alle konsulentenes fagprofesjoner.
En ekstra bjelle
Problemet er at mange tror de kan kjøpe seg ut av sikkerhetsutfordringene, som ved å anskaffe dyre skanneprogrammer for eposten sin, når det viktigste er å øke bevisstheten omkring sikkerheten i hele organisasjonen.
– På mange måter kan du si at vi installerer en liten bjelle i hodene hos medarbeiderne våre. Hvis de får en mail eller skal installere en eller annen software – og det kan innebære et sikkerhetsproblem, så er det meningen at denne bjella skal begynne å ringe, avslutter Sommerfeldt.
Av Tom Backe