IT-säkerhetsfrågor har aldrig vart mer på ropet än det är nu. Med nya lagar som kräver transparens vid incidenter och höga vitesbelopp på upp till 4% av total omsättning (alternativt 20 miljoner Euro) så kommer knappast dessa frågor knappast blåsa över heller.
Trots att många företag investerat i IT-säkerheten så drabbas de fortfarande av intrång, förlust eller läckage i sina IT-miljöer och av sin information. Hur kommer detta sig?
Återkommande när vi utreder incidenter eller sitter i strategiska dialoger med kunder så kommer vi fram till några vanligt förekommande slutsatser:
- För stor tilltro till tekniska säkerhetsprodukter
- Brist på förståelse i organisationen kring IT och Informationssäkerhet
- Otydligt ansvar, hela vägen från ledning ned till den anställde
Den kommande Dataskyddsförordningen ställer krav på grundläggande IT-säkerhet, något som de flesta borde se som en självklarhet men väldigt få företag i Sverige faktiskt implementerat. Närmast kommer de företag som bedriver tillståndspliktiga verksamheter. På den statliga sidan kan vi t.ex. genom MSBs rapport om Informationssäkerheten i kommunerna konstatera att det ser riktigt illa ut för Sveriges kommuner.
Med grundläggande IT-säkerhet avses i detta sammanhang kontroller såsom minimering av administrativa behörigheter, nyttjandet av tekniker så som Smarta kort, kontinuerlig uppdatering av ALLA operativsystem och mjukvaror i HELA IT-miljön, noll tolerans mot ej längre supporterad mjukvara, informationsklassificering tillsammans med kryptering för att säkerställa att information inte läcker ut, loggning av hela IT-miljön tillsammans med loggkorrelering för att proaktivt upptäcka anomalier bland system och användarmönster mm.
De företag som inte gjort sin hemläxa de senaste 15 åren står inför en rejäl övning och investering kopplat till IT-säkerhet. Detta inbegriper allt från säkerhetsprodukter till införandet av processtyrning såsom genom ITIL för att säkerställa förvaltningen av IT-systemen.
Även de företag som outsourcat hela sin IT-drift påverkas då den nya lagen ställer helt nya krav kopplat till tjänsteleverantörer och deras kunder. I den gällande lagstiftningen är det kunden som sitter på personuppgifterna som bär ansvaret medans i den nya lagen så inträder ett delat ansvar. Detta menar jag kommer leda till att de allra flesta avtal mellan tjänsteleverantörer och deras kunder behöver ses över. T.ex. kommer nog få tjänsteleverantörer gå med på att deras kunder har svaga lösenord eller på annat sätt påverkar sin egen säkerhet vilket vid en incident riskerar att spilla över på leverantören.
Som jag skrev inledningsvis ligger inte lösningen i att enbart investera i produkter. På Addlevel utgår vi t.ex. i strategiska dialoger från en holistisk modell som tar hänsyn till de tre (fyra) klassiska P-na: Personer, Processer och Produkter (och Partners) för att identifiera vilka krav som skall gälla, vilket vi menar är en förutsättning för att gå i mål med säkerhetsarbetet.
När kraven är identifierade behövs en GAP-analys göras mot nuläget för identifiera vilka kontroller, både tekniska och organisatoriska, som behöver implementeras. Detta skapar ett praktiskt och strategiskt tillvägagångssätt för organisationen att uppnå en motståndskraftig IT-miljö som på ett helt annat sätt står emot angrepp.