[DEBATT] Chefer på tillverkande företag upplever hur IT, digitalisering, kalla det vad du vill, sköljer över dem i en allt snabbare takt de närmaste åren.
Det gäller att hänga på och surfa in i framtiden, annars får man ägna sig åt något annat.
Med de premisserna är det lätt hänt att så snabbt som möjligt försöka åtgärda de brister som finns vad gäller cybersäkerhet. Det är ett misstag, skriver Emanuel Lipschütz på Conscia.
Målet med cybersäkerhet är väl att ha en helt säker IT-miljö, eller hur? Nej, nej, nej. Målet bör vara att hantera den säkerhetssituation som faktiskt råder. Att sträva efter perfektion är inte bara lönlöst, det ger sämre cybersäkerhet.
Det här är helt säkert svårt att greppa för någon som inte har full insyn i cybersäkerhet. Det är kanske tröttsamt att höra, men det första steget i arbetet med cybersäkerhet i ett företag bör vara att skaffa sig en uppfattning om det rådande läget. Utifrån analyser av det går det att identifiera skyddsvärda resurser och principiella lösningar för att skydda dem. Därefter är det dags att tillsätta personal, utforma processer och köpa tjänster och produkter.
Det stora misstaget som många gör är att börja med det sista steget, att köpa in tjänster och resurser. Det görs utifrån en ambition att täppa igenom alla tänkbara säkerhetshål. Det kommer inte att fungera särskilt bra. Ett sätt att förstå varför är att undersöka vilka intrång som redan pågår i ett företags IT-miljö. Jo, så är det, räkna med att ditt företag redan är infiltrerat och basera säkerhetsstrategin på den insikten.
Ett bonustips i sammanhanget är att lägga några timmar på en informell workshop för att undersöka och diskutera hur läget faktiskt är. Fundera sedan på vilka åtgärder och säkerhetslösningar som de insikterna ger, och jämför med den strategi som råder och de säkerhetslösningar som finns på plats. Två väldigt olika bilder kommer att tona fram. Den ena är baserad på en önskan om vattentät säkerhet. Den andra bygger på insikterna om det faktiska säkerhetsläget. Det är den andra som bör styra säkerhetsarbetet.
Vad betyder det här rent konkret? Ett bra exempel är att lägga mindre resurser på perimeterskydd och mer på övervakning och analys av anrop till applikationer och andra resurser i företagets nätverk. Lägg sedan kraft på produkter, tjänster, processer och personal för att hantera de intrång som upptäcks. Det innebär även att ha ändamålsenliga rutiner för säkerhetskopiering och återställning av data. Räkna inte med att kunna upptäcka och hantera alla intrångsförsök i ett tidigt skede.
Man ska så klart inte bortse helt från perimeterskydd, med till exempel brandväggar. Och i vissa lägen är det självklart viktigt att agera snabbt. Men det är svårt med perimeterskydd när det inte längre finns någon ”perimeter” att skydda. Distansarbete, distribuerade lösningar som IoT, användning av molntjänster och, inte minst, internet i sig gör att det inte går att bygga en säkerhetsmur mellan ett företag och omvärlden, det gäller i allt högre utsträckning även för fabriker. Säkerhetsproblem måste hanteras där det är mest rimligt att upptäcka dem och det är i många fall inne i företagets nätverk.
För att vara tydlig: utan en omfattande och grundlig nulägesanalys av säkerhetsläget och av vilka resurser som behöver skyddas går det inte att skapa en bra strategi eller bra lösningar för cybersäkerhet. Att sträva efter att skapa vattentäta skott mellan ett företag och omvärlden, för att uppnå perfekt cybersäkerhet, är lönlöst. Det är direkt farligt eftersom det dels innebär att för lite resurser kommer att läggas ner på de lösningar som verkligen behövs, dels inte kommer att fungera.
Inköp av produkter och tjänster för cybersäkerhet utan en grundlig analys av säkerhetsläget innebär bortkastade pengar.
Av: Emanuel Lipschütz, Conscia.