IT behöver definiera, förankra och säkerställa säkerhetsnivåer, både vad gäller infrastruktur och applikationer.
Insatser som stärker lämpliga och nödvändiga beteendeförändringar hos alla IT-användare i verksamheten är viktigt. Ett väldefinierat proaktivt arbete för ökad medvetenhet, ökad krishantering och verifierad efterlevnad ger verksamheten en konkurrensfördel genom att skydda såväl nyckeltillgångar som verksamhetens anseende.
Den här artikeln är en del av den längre rapporten ”Säkerhetsutmaningar i tider av digitalisering”.
Inte kompromissa med säkerheten
Ur ett verksamhetsperspektiv innebär detta att man behöver utvärdera redan implementerade lösningar, säkerställa att rådande kunskapsnivå svarar mot krav och förväntningar samt att man vid kommande digitaliseringsinvesteringar inte kompromissar med säkerheten. Aktivt deltagande och synliggörandet av engagemang från ledningsgrupp och beslutsfattare kommer vara centralt.
Vi vet att fortsatt digitalisering och optimering av digitala processer i svenska verksamheter är nödvändigt. Enligt Radars data är ökad digitaliserings- (64%)1 och automatiseringsgrad (46%)1, samt införandet av nya applikationer (44%)1, just det som prioriteras högst inom IT. Samtidigt genererar detta allt större datavolymer, till följd av ökad användning av bl.a. molntjänster och IoT, vilket medför mer intensiva (kvantiteten) och mer användbara (kvalitet) dataflöden.
Komplexa kedjor svårare att överblicka
Genom komplexa kedjor skapas värde från information som tidigare varit ointressant och icke-mätbart. Utveckling har tilltagit och allt fler eftersträvar mer flexibla affärs- och verksamhetsmodeller i vilka dataflöden i högre utsträckning nyttjas. Längre kedjor är dock mer komplexa och därmed svåra att överblicka ur ett säkerhetsperspektiv.
En ökad distribution av noder i samband med digitalisering upplevs till större del av mogna verksamheter som ett hinder i säkerhetsarbetet. I verksamheter med en lägre mognadsnivå, är denna medvetenhet fortfarande låg. Utmaningen ligger i att förstå hur informationen lever genom hela den långa kedjan. Med andra ord förstå när informationen är i vila, i rörelse eller under användning samt vem/vilka som har tillgång till.
Brister i kedjan kan innebära förlorad affärsinformation, effektivitetsförluster, kvalitetsbrister och/eller minskad tillit, vilket kan medföra ökade kostnader, försämrad konkurrenskraft eller i värsta fall risk för samhället.
Säkerhetsarbetet behöver vara försvarbart både juridiskt och operationellt
En realistisk utgångspunkt är att inget säkerhetsarbete är perfekt. Radars vanligaste rekommendation för hur arbetet med säkerhet bör bedrivas är att det bör vara försvarbart både juridiskt och operationellt.2 Det måste fungera i praktiken. Att digitalisera utan avkall på säkerhet för såväl egen verksamhet och samarbetspartners som medborgare är en stor utmaning.En missad patch, ett oförsiktigt öppnande av en bilaga i mailen eller ett intrång hos vald leverantör av IT kan idag få förödande konsekvenser.
Våra främsta hinder, utöver intern säkerhetsmognad hos egen personal, relaterar till mognad och bristande prioritering såsom avsaknad av rutiner och andra viktiga delar kopplade till den mänskliga faktorn.
Utvärdera nuläget med fokus på behov och förutsättningar
För att få utväxling bör säkerhetshöjande insatser vara väl avvägda och motiverade, vilket i sig inte är en lätt utmaning. Att utvärdera nuläget med fokus på behov och förutsättningar skapar i regel en bättre utgångspunkt inför framtida investeringar och förändringsprocesser, så som arbetet med efterlevnad och uppfyllandet av nya krav. Insatser som syftar till att stärka verksamhetens förmåga genom kompetenshöjande åtgärder på individnivå, är betydelsefullt i sammanhanget. Särskilt eftersom låg säkerhetsmognad bland egen personal anses utgöra så stort hinder för att upprätthålla tillfredsställande säkerhet.
En hög förändringstakt innebär att förväntningar och krav på snabb tillgång till nya tjänster med ökad effektivitet växer. Cyber- och informationssäkerhetsarbetet ställs därmed inte bara mot resurser i form av pengar, tid och förmåga, utan stundtals även mot faktorerna bekvämlighet och frihet. När allt kortare verksamhetscykler premieras riskerar dynamiken att ändras från en försiktig ansats till en med högre risktagande, vilket riskerar att säkerhetsarbetet blir eftersatt redan i ett tidigt skede.
Allt kortare verksamhetscykler ställer till det
Problematiskt ur ett säkerhetsperspektiv är att allt kortare verksamhetscykler leder till premierandet av vissa styrmodeller och arbetsmetoder, som är tänkta att underlätta tullverksamhetens digitalisering. Våra vanligt förekommande ITIL-ramverk och agila metoder ger inte IT-organisation och samtidigt övriga verksamheten tillräckligt stöd i hanteringen av informations- och cybersäkerhet.
ITIL täcker in området mer än agila metoder genom att referera till andra ramverk och standarder på området, men historiskt har säkerhet i huvudsak utgått ifrån användarens tillgång till information snarare än att skapa (eller upphandla) en robust teknisk design. Agila ramverk tar inte upp informations- och cybersäkerhet i större utsträckning, utan förlitar sig på bl.a. DevOps.
Även traditionella metoder som vattenfall har sina begränsningar och problem, så lösningen är inte nödvändigtvis att återgå till traditionella utvecklingsprinciper. Oavsett metodik i den egna organisationen behöver man se till att säkerhetsintresset bevakas även i korta iterationer där endast det högst prioriterade utvecklas. Säkerhet måste tillåtas få hög prioritet för att minimera framtida risk.
Hastiga transformationsprocesser bli problematisk, då risken finns att man bygger in sig i ett IT-landskap så komplicerat att det i efterhand blir väldigt kostsamt att reda ut vilka risker organisationen utsätter sig för. Ofta läggs stort fokus på funktion, medan mindre uppmärksamhet ges till proaktiv säkerhet såsom dokumenterade informationsflöden, risk-bedömningar, utbildningar och hantering av informationssäkerhetsincidenter.
Hanteringen är ofta bristfällig
Senaste tidens uppmärksammade ”felkonfigureringar” av standardtjänster som lett till att känslig och skyddsvärd information legat öppen visar med all tydlighet effekterna av ett uppskruvat tempo och bristande metodik. Det är sällan fel på produkten eller lösningen, utan oftast är det hanteringen som är bristfällig. Tid till eftertanke ges inte och de mest grundläggande delarna såsom konfigurering glöms bort. Detta är ännu en av de många delar som ökar friktionen mellan snabb utveckling och behållandet av stabila system som plågat IT-organisationer i åratal.
Som säkerhets- eller IT-ansvarig riskerar man stundtals att uppfattas som bakåtsträvare, i synnerhet som bromskloss för produktivitet och flexibilitet. Hela verksamheten behöver arbeta proaktivt för att öka förståelsen för nödvändig riskminimering, även om det leder till produktionsbortfall.
Radars data visar på att fler beslutfattande roller än tidigare är med och aktivt påverkar/driver samt fattar beslut i frågor som rör cybersäkerhet, vilket antyder att utvecklingen går rätt håll. Samtidigt finns brister i att kommunicera internt var ansvaret för cybersäkerhetsfrågor ligger, hela 27 procent av anställda som inte innehar en chefsposition uppger att de inte vet detta. Radars rekommendation är fokusera mer på verksamhetens kunskap och kännedom om risker och utmaningar, genom insatser på individnivå.
1. Andel av svenska verksamheter som enligt rapporten IT-Radar 2020 prioriterar respektive område.
2. Kartläggning av svensk cybersäkerhet 2020, Radar
