Tar du datasikkerheten på alvor? Eller kommer den alltid nederst på lista? Altfor mange ledere tar for lett på datasikkerhet. I 2018 innføres det nye GDPR-direktivet, som stiller større krav til bedriftenes IT-sikkerhet. Ved å ansvarliggjøre bedriftene, tvinges ledere til bevissthet og handling.

Har du god nok kontroll på IT-sikkerheten i din bedrift? Test deg selv med disse 5 spørsmålene.

1. Har din bedrift ”state-of-the-art” IT-sikkerhet?  

GDPR er etter hvert kjent for de fleste ledere. ”State-of-the-art” derimot, er det ikke alle som kjenner det til. ”State-of-the-art” er retningslinjene i direktivet, som sier at bedriftene selv må være oppdatert på hvilke tiltak og sikkerhetsmekanismer som må implementeres.

EU definerer kravet til IT-sikkerhet vagt med å si at bedrifter må ha State-of-the-art IT-sikkerhet. Det er flere grunner til at dette er vagt formulert i EU-direktivet.

1. IT-teknologien generelt utvikler seg i enorm fart.
2. IT-sikkerhet generelt utvikler seg også raskt, det er derfor umulig å si hvilke sikkerhetstiltak som må være på plass de neste årene.
3. Ulike bransjer vil antagelig kreve ulike tiltak, alt ettersom hvor mye personlige opplysninger virksomhetene sitter på.

Det vil si at du som leder må ta stilling til ditt selskaps ”State-of-the-art”-sikkerhet, og at dere må følge den teknologiske utviklingen i samfunnet og for bransjen generelt. Hva kreves av dere for å møte direktivet? Dersom deres utsettes for angrep, blir dere nødt til å bevise at dere har ”State-of-the-art”- sikkerhet implementert. Dere må kunne si: ”Ja, vi har implementert det beste av det siste innen IT-sikkerhet”.

Er du i tvil om hva ”State-of-the-art” innebærer for din bransje? Våre rådgivere hjelper deg gjerne (link til kontaktinfo).

2. Er IT-sikkerheten ivaretatt i og mellom alle ledd?

IT-sikkerhet blir stadig mer komplekst, med en eksplosjon av enheter tilkoblet systemene. Trenden med å flytte data til skyen, kravet om at data skal være tilgjengelig hele tiden, mobile enheter osv. Tenk på alle personer som beveger seg inn og ut av nettverket ditt med egen laptop, firmaet sin laptop eller mobiltelefoner, og filer som sendes inn og ut av skya, og skal være tilgjengelig hvor du enn måtte befinne deg. Alle disse trendene bidrar til å komplisere hvordan man setter opp mekanismer for å beskytte data og informasjon

Hvor mange leverandører med forskjellige sikkerhetsfunksjoner er involvert i dine sikkerhetsmekanismer/tiltak? Kommuniserer disse sikkerhetsfunksjonene med hverandre, eller sitter de som isolerte siloer? Ser du på IT-sikkerhet som punktløsninger, eller har du en helthetlig plattformtilnærming til IT-sikkerhet?

Vår erfaring er at vanligvis leveres brannmuren av en leverandør, anti-virus av en annen, web-filtrering av en tredje etc. Det gir et komplekst oppsett, med mange forskjellige komponenter, leverandører og systemer som ikke kommuniserer med hverandre. Dette skaper hull i sikkerheten som kan utnyttes av kriminelle. Hackere har blitt så sofistikerte i dag, at ethvert hull i sikkerheten gir et rom for innbrudd. Derfor trenger du full kontroll over sikkerheten i og mellom alle ledd.

Våre systemer er basert på ett system, som håndterer alle ledd i sikkerheten – slik at du slipper flere leverandører. Ett system hvor alle leddene samhandler, og hvor alle hull er tettet. Mindre komplekst. Mindre risiko.

3. Går ytelse og kapasitet ut over IT-sikkerheten?

I mange sikkerhetsløsninger er ytelse/brukervennlighet/funksjonalitet og sikkerhet to motpoler – når den ene går opp går den andre ned. Det er nesten alltid sikkerheten som lider. Høy sikkerhet fører til et tregere og mindre brukervennlig system, frustrerte medarbeidere osv. Da er det fort gjort at sikkerheten blir nedprioritert.

Sikkerhet bør ikke gå på bekostning av ytelse. Det er ditt ansvar som leder å sørge for dette.

Ved å bruke en ”alt-i-ett”-løsning, unngår man enkeltsystemer fra ulike leverandører som ikke samhandler og ”spiser” kapasiteten i systemet. Slik kan sikkerheten alltid være påslått, uten at dette preger ytelsen i særlig grad. Sjekk at ytelsestallene som oppgis, er med alle sikkerhetsfunksjoner slått på, hele tiden. Da vet du at systemet er forutsigbart. Det trenger altså ikke være enten eller. Du kan få i pose og sekk.

4. Stikker du hodet i sanden?

Har du en tendens til å stikke hodet litt i sanden når det gjelder datasikkerhet? Mange lever nok litt lykkelig ”uvitende” om alt som skjer på nettverket sitt. Et mer eller mindre bevisst valg. Som fort kan vise seg å bli kostbart.

Når du ikke vet hva som skjer, er det heller ikke så lett å sikre seg mot farene. Sikkerhetsanalyser gjennomført hos ulike bedrifter, viser 200-300 ukjente aktiviteter på et hvert nettverk. Det vil si aktiviteter som brukerne ikke har noen peiling på hva er, hva de gjør, hvor de kommer fra eller hvorfor de er der!

Tar du grep, vil du få svar på hvor utsatt bedriften er – og dermed også hvilke tiltak som bør gjennomføres for å tilfredsstille de nye kravene. En sikkerhetsanalyse vil gi deg svarene du trenger (klikkbar).

5. Involverer du ansatte i IT-sikkerheten?

Ansatte kjenner sjelden risikoen for dataangrep og tenker ofte ikke over hvordan deres bruk av nettverket utsetter bedriften for farer. Her er det to sjekkpunkter du bør ha kontroll over:

1. Hvilke tiltak er gjort for å lære de ansatte om IT-sikkerhet?
   • Alle bedrifter bør ha en intern opplæring av de ansatte. Å klikke på infiserte linker som tilsynelatende er sendt fra store og kjente aktører som Posten, Telenor og Netflix, er fort gjort. Her finnes det noen gode retningslinjer de ansatte kan forholde seg til.
   • NB! Ledere utelater ofte seg selv fra opplæringen. Noe som er veldig dumt, da ledere ofte har mindre teknisk innsikt enn mange ansatte OG i større grad er utsatt for målrettede angrep.

2. Hva hvis de ansatte likevel gjør feil?
   • Det er som kjent menneskelig å feile, så opplæring er kun et hjelpemiddel – ingen sikkerhetsløsning. Derfor må du i tillegg ha de nødvendige teknologiske sikkerhetsløsningene.

Har du full kontroll? Eller blir du svar skyldig? Uansett, å være bevisst disse temaene er det første steget på veien mot et sikrere selskap. Plutselig er det for sent.