Hege Skryseth: Hvordan sikrer du din virksomhet mot sikkerhetsbrudd?

Foto:  Johannes Plenio

I dag er digitalisering en viktig del av de fleste virksomheters strategier, og etablerte selskaper i så godt som alle bransjer vet at de må være forberedt på disrupsjon. Iveren etter å komme i gang med rask gevinstrealisering er stor. De fleste virksomhetene velger nye og innovative skytjenester. Men fokuserer de nok på sikkerhet? Det skriver Hege Skryseth.

Click here for an English version of this column

Hege Skryseth, LederblikkI Lysneutvalgets rapport om digital sårbarhet kan vi lese at vår digitale hverdag utfordrer vår evne til å holde informasjon konfidensiell. Samtidig er det en reell fare for at uvedkommende vil angripe og styre det utstyret vi bruker. Ifølge Nasjonal sikkerhetsmyndighet er de som har motivasjon til å stjele informasjon og ta kontroll over utstyret vårt, gjerne fagfolk med store ressurser. Og noen av dem gjør det med støtte fra fremmede stater. Med andre ord er det viktigere enn noen gang at grunnmuren i virksomhetens digitaliseringsarbeid er solid.

 

Bygg en solid grunnmur

  • Vi må sikre at cybersikkerhet er en integrert del av de digitale tjenestene vi tar i bruk i digitaliseringsarbeidet. Programvarehusene må bygge inn sikkerhet i alle de tekniske løsningene de leverer. Hvis organisasjonen din kjøper tjenester, må dere være nysgjerrige og spørre tjenesteleverandørene hvordan sikkerheten er bygget inn. Husk at dere overlater selskapets mest verdifulle eiendeler – dataene deres – til en tredjepart. Da må dere vite at tredjeparten har kontroll.
  • Vi må innse at sikkerhet handler om mer enn teknologi og digitale tjenester. Som ledere må vi sørge for at bevisstheten om sikkerhet gjennomsyrer organisasjonen vår og er en naturlig del av tankesettet til medarbeiderne våre. Og vi må ta ansvar for at alle nivåer i virksomheten har kunnskap som reflekterer de nye utfordringene. Da sikrer vi at våre medarbeidere vet hvordan de skal håndtere den nye hverdagen.
  • Vi må ta grep om de daglige rutinene og arbeidsprosessene i virksomheten for å legge rammene for en trygg digital transformasjon. Ved å utarbeide ledelsessystemer for sikkerhet sørger vi for at hele organisasjonen jobber strukturert og systematisk med sikkerhetsarbeidet.

 

Hva er konsekvensen av et sikkerhetsbrudd?

De siste årene har flere virksomheter virkelig fått kjenne på konsekvensene av sikkerhetsbrudd. Ett eksempel så vi under Verizons oppkjøp av Yahoo i 2016. Underveis i prosessen kom det frem at datainnbrudd hos Yahoo hadde ført til at hundrevis av millioner brukerkontoer kom på avveie. Resultatet var at det ble skrellet 350 millioner dollar av oppkjøpssummen.

Et annet eksempel på de økonomiske konsekvensene ved et sikkerhetsbrudd så vi da Mærsk ble rammet av et kryptovirus i fjor. De led et tap på opptil 300 millioner dollar som en direkte følge av hendelsen.

Dette er målbare konsekvenser. Men det er langt fra alltid så enkelt å måle konsekvensen av et sikkerhetsbrudd. Hva er kostnaden ved hacking og industrispionasje? Når, og hvordan, merker du at din virksomhet taper markedsandeler fordi en annen virksomhet benytter konfidensiell informasjon fra din virksomhet til å ta dine posisjoner?

LES OGSÅ: Hege Skryseth: Hvilke verdier kan en digital plattform gi din bedrift?

 

Sørg for at partnerne dine tar sikkerhet på alvor

Når du velger partnere til å støtte deg i digitaliseringen, må du sikre deg at de tar sikkerheten på alvor. En partner på digital plattform skal for eksempel forvalte dine data og dine verdier. Da må du være trygg på at de jobber etter en helhetlig sikkerhetsstrategi.

Hva skal du se etter for å minimalisere risikoen for sikkerhetsbrudd når du velger en partner?

1. Finn ut av hvordan de jobber med organiseringen av sikkerhet internt.

Har de bygget et styringssystem for informasjons- og cybersikkerhet? Da jobber de strukturert med sikkerhetsproblematikk. Du kan regne med at de har etablerte sikkerhetsrutiner og vil jobbe proaktivt med å forbedre sikkerheten i produktene og tjenestene de leverer til deg.  

2. Spør hvordan de har sikret teknologien.

Har de bygd sikkerheten inn som en integrert del av produkt- og tjenesteleveransene? Unngå leverandører som legger opp sikkerheten etter eldre modeller med antivirus og brannmurer.

3. Undersøk om de har bygd inn kapasitet for å forebygge sikkerhetsbrudd.

Kan de dokumentere at de har kapasitet til å oppdage sikkerhetsbrudd, respondere på slike brudd og gjenopprette normaltilstanden med så små konsekvenser som mulig? Som eksemplene fra Yahoo og Mærsk viser, må du anta at sikkerhetsbrudd kan finne sted uansett hvor høy sikkerheten er.

LES OGSÅ: Hege Skryseth: Kan virksomheten din dra nytte av digitale tvillinger og digitale tråder?

 

Gjør sikkerhet til et hovedtema i virksomheten

Det er ingen tvil om at konsekvensene ved sikkerhetsbrudd – målbare eller ikke målbare – kan være svært alvorlige. Derfor må vi diskutere cybertrusselen på ledermøter og i styrerom. Vi kan ikke lenger overlate sikkerheten til IT-avdelingen alene. Vi ledere må ha et forhold til risikoen vi er utsatt for og sette retning for virksomheten deretter. Hvis vi tar de kloke valgene nå, vil digitaliseringen føre til den veksten vi ønsker.

Vil du lære mer om hvordan teknologi kommer til å påvirke oss i fremtiden?

Do you want to learn more about how your company can create sustainable business models to meet future challenges? Find out more about our next conference «The Future and Technology and Sustainability». Change starts here, and change starts with you.

How do you protect your business against security breaches?

hege skryseth, kongsberg digitalToday, digitalization is an important part of most business strategies, and established companies in virtually all industries know they must be prepared for disruption. Many are eager to realize quick benefits. Most businesses choose new and innovative cloud services. But are they paying enough attention to security? Hege Skryseth writes. 

Hege Skryseth, LederblikkIn their report, the Norwegian government-appointed Lysne committee for digital vulnerabilities in society wrote that our digital life is challenging our ability to keep information confidential. At the same time, there is a real danger that unauthorized parties will attack and control the equipment we use.

According to the Norwegian National Security Authority, it is usually professionals with vast resources that are motivated to steal information and take control of our equipment. And sometimes they are supported by foreign states. In other words, it is more important than ever to establish a solid foundation for the digitalization efforts in any company.

Build a solid foundation

  • We must ensure that cyber security is an integral part of the digital services we adopt for our digitalization efforts. Software houses must integrate security in all their technical solutions. If your organization is buying services, you must be curious and ask your service providers how they integrate security in their services. Keep in mind that you are leaving the most valuable assets in your company – your data – to a third party. So, you must be sure that this third party has full control.
  • We must realize that security is about more than technology and digital services. As leaders, we must ensure that security awareness permeates our organization and is a natural part of the mindset of our employees. And it is our responsibility that the knowledge on all levels of our business reflects the new challenges. This will ensure that our employees know how to handle the challenges connected to our new way of living.
  • We must be in control of the daily routines and work processes in our organization to create the framework for a safe digital transformation. By developing management systems for security, we make sure that our entire organization is working with security in a structured and systematic way.

What is the consequence of a security breach?

In recent years, several businesses have become excruciatingly aware of the consequences a security breach can have. We saw an example of this during Verizon's acquisition of Yahoo in 2016. In the course of the process, it became clear that two data breaches at Yahoo had exposed hundreds of millions of user accounts. As a result, 350 million dollars were shaved from the purchase price.

We saw another example of the financial consequences of a security breach last year when Mærsk was hit by a crypto virus. They suffered a loss of up to 300 million dollars as a direct consequence of the incident.

These are measurable consequences. But it is far from always that easy to measure the consequences of a security breach. What is the cost of hacking and industrial espionage? When and how do you notice that your business is losing market shares because another business is using confidential information from your business to take your positions?

Make sure your partners take security seriously

When you choose partners to support you in the digitalization of your business, make sure they take security seriously. A digital platform partner, for instance, will be managing your data and values. This means you must be confident that they are following a holistic security strategy.

How do you minimize the risk of a security breach when you are choosing a partner?

1. Find out how they work with the organization of security internally.

Have they built a management system for information and cyber security? In that case, they are working with security issues in a structured manner. You can expect them to have established security practices and to work proactively on improving the security of the products and services they deliver to you. 

2. Ask them how they have safeguarded their technology.

Is built-in security an integral part of their product and service deliveries? Avoid vendors who refer to older security models with antivirus and firewalls.

3. Check whether they have built-in capacity to prevent security breaches.

Can they document they have the capacity to detect security breaches, respond to such breaches, and restore normal conditions with as little consequence as possible? As the examples from Yahoo and Maersk show, you must assume that security breaches can happen no matter how strong the security is.

Make security a key theme in your business

There is no doubt that the consequences of a breach of security - whether it is measurable or not - can be very serious. That is why we need to discuss cyber threats at management meetings and in boardrooms. We can no longer leave security solely to our IT departments. As leaders, we must be familiar with the risks we are exposed to and set the course of our business accordingly. If we make the right choices now, the digitalization will lead to the growth we want.