February 27, 2024
Cyber security er endelig en del av vår tjenesteportefølje, og vi er utrolig stolte over å kunne lansere dette tjenesteområdet bare 8 måneder etter oppstarten av selskapet. Dette er en helt naturlig utvikling av Melius Consulting sin tjenesteportefølje som understøtter vår målsetting om å kunne tilby helhetlige digitale tjenester til våre kunder.
Det digitale trusselbildet øker i omfang samtidig som digitalisering, automatisering og effektivisering står høyt på agendaen hos de aller fleste bedrifter. Ukentlig kan vi lese om sikkerhetshendelser i varierende omfang, og enkelte hendelser er muliggjort gjennom “nulldagssårbarheter”, dvs. svakheter i den digitale løsningen som det foreløpig ikke finnes noen sikkerhetsoppdatering for. Et eksempel på dette er hendelsen som blant annet rammet Departementenes Sikkerhets- og Serviceorganisasjontidligere i sommer.
På grunn av tidspress som følge av høye krav til å være først ute i markedet, gjerne kombinert med kapasitetsutfordringer, har sikkerhetsaspektet lett for å komme i annen rekke. De aller fleste sikkerhetshendelser oppstår som følge av manglende sikkerhetsforståelse, og den reelle sikkerheten i bedriftens digitale løsninger er avhengig av to ting: en «sikker nok» IT-arkitektur og tilstrekkelig kompetanse hos både de som drifter, vedlikeholder og bruker løsningen.
Vi har spurt Roger om hva han mener er de største utfordringene og viktigste fokusområdene innen cyber security. Roger er sterk og klar på at en av hans store drivere er å binde cyber security og kostnadsreduksjon tettere sammen. Vi har derfor i tillegg utfordret ham litt på hvordan han tenker at dette skal gå til.
Hva er de største utfordringene for bedrifter flest?
– På generelt grunnlag vil jeg si at evnen til å gjøre sikkerhetsarbeidet forretningsorientert og forståelig er en stor utfordring hos de fleste bedrifter. Uten dette er det ikke mulig å drive et målbevisst og effektivt sikkerhetsarbeid. Dette handler i bunn og grunn om tid og evne til å prioritere og gjøre sikkerheten “god nok”. Jeg mener at styre og toppledelse må gå i bresjen for en omforent vedtatt tilnærming til sikkerhetsstyringen i selskapet, med konkrete forventninger, målsettinger og tilhørende målinger som følges opp på avtalte nivåer i selskapet.
Det å forstå individuelle behov og gjennom dette sikre gode muligheter for personlig kompetanseutvikling er en annen utfordring jeg ser. Det er nok av kjedelige e-læringskurs som virker mer som en last og en tidstyv, enn som et verdifullt bidrag til forsvarlig drift av selskapet. Gjennom å inkludere individuell kompetanseutvikling som en konkret parameter i selskapets sikkerhetsstyring vil toppledelsen legge til rette for et sterkere forsvar i “førstelinjen”.
Til sist vil jeg trekke frem innsyn og kontroll med leverandører og verdikjeder som en meget vanlig utfordring. På dette området er det viktig at ledelsen klarer å etablere en enkel gjennomførbar metode for å vurdere leverandørenes evne til å ivareta sikkerheten, samt sørge for at sikkerhet er inkludert så tidlig som mulig i anskaffelser så vel som i utviklingsprosjekter.
Hva er lett å glemme?
– Jeg opplever at mange selskaper har en slags “blindsone” når det kommer til den fundamentale kulturelle utviklingen av sikkerhet – som et middel fremfor som en brems. Det å jobbe for å gjøre sikkerhet til en støttespiller, og ikke en hemsko eller motstander, vil jeg si at mange glemmer å ta med seg i en ellers hektisk arbeidshverdag.
En annen ting som det for meg ser ut til at mange glemmer, er at nesten alt handler om tilgangskontroll. Det er jo her “Zero Trust” etter hvert er blitt et innarbeidet begrep, i alle fall i bransjen. Dersom selskapet setter av tid og ressurser til å gjøre en helhetlig gjennomgang og sikring av identiteter og tilganger, herunder både personlige brukerkontoer, system- og servicekontoer, ville veldig mange av de potensielle sårbarhetene og risikoene kunne reduseres betraktelig.
Hvordan tenker du at cyber security skal knyttes tettere sammen med kostnadsreduksjon?
– Jeg tenker at første skritt på veien må være å gjøre sikkerhetsarbeidet mer effektivt i seg selv. Dette kan man gjøre gjennom å etablere en konkret tilnærming til hva som er de faktiske driverne for informasjonssikkerhet i bedriften, prosessen eller aktiviteten. I annen omgang vil dette gjøre det mulig å stramme ytterligere inn på risikostyringen og definere helt konkrete sikkerhetsegenskaper, eller målsettinger, som videre gir grunnlag for prioritering av sikkerhetsarbeidet.
Videre mener jeg at cyber security og kostnadsreduksjon kan knyttes tettere sammen dersom man erkjenner og definerer verdien av data og informasjon. Dette kan gjøres gjennom å innføre metoder som gjør at data og informasjon, sikkerhetstiltak og generelt sikkerhetsarbeid kan tallfestes og innlemmes tettere med regnskapet og bunnlinjen. Helt siden Doug Laney for mer enn 10 år siden introduserte begrepet «Infonomics» har jeg hatt stor sans for teamet, og gleder meg til å ta dette videre.
Etableringen av konkrete forretningsdrivere for informasjonssikkerhet vil være et naturlig første steg i arbeidet med å effektivisere sikkerhetsarbeidet, og har dermed en direkte knytning til kostnadsreduksjon. Dersom selskapet etterpå innlemmer informasjon som en del av sin økonomiske beholdning/balansen, vil dette forsterke selskapets evne til å prioritere sikkerhetsarbeidet ytterligere.
