Innlegget er tidligere publisert i Finansavisen.

Gapet i kommunikasjon mellom teknisk personell og ledelse er en kjent problemstilling og er et område som er viktig å ta tak i. Dette for å kunne forstå både risiko og konsekvenser ved trusler og sårbarheter. Flere kjente cyberhendelser viser svekkelse av tekniske barrierer, men samtidig har hendelser eskalert ved at virksomheten ikke var forberedt med gode prosedyrer på hvilken konsekvens et utfall av IKT-systemer kan ha for virksomheten. Det er ingen som er immun mot digitale trusler og angrep.

En virksomhet kan bli utsatt for både direkte IKT-angrep eller indirekte påvirkning fra andre hendelser som forplanter seg via nettverk, digitale enheter eller via verdikjeden. Det er som oftest det svakeste ledd som blir angrepet først, dette er gjerne en angrepsflate i sjiktet mellom en teknisk og menneskelig faktor. Kunnskap og forståelse hos ledelsen er en viktig pilar i god risikoforståelse og styring av virksomhetens verdier. Her er det svært viktig å ha gode måltall og indikatorer for robusthet av IKT-systemer, samt involvering av teknisk personell med god kjennskap til egne systemer. Dette for å kunne ta riktige, kunnskapsbaserte valg og ha god verdistyring. Sikkerhetstiltak vil sikre verdier og gi økt robusthet som kan hindre eskalerende konsekvenser i det digitale rom.

Risikostyring med god effekt

Risikostyring krever sikkerhetstiltak på et teknisk nivå, samt tiltak på organisatorisk og virksomhetsnivå. Gode tekniske sikkerhetstiltak er ikke ene og alene godt nok for å sikre verdier i en virksomhet. Ledelsesinvolvering og forståelse av risikoer og konsekvenser er essensielt i enhver risikostyringsmodell. Å ta de rette valg ved en hendelse er kun mulig å gjøre når virksomheten og ledelsen forstår konsekvenser av sårbarheter og risikoer i kombinasjon med virksomhetens verdier. 

Det finnes flere alternativer for risikostyring og rammeverk som virksomheten bør etterleve. Når risikoen er beskrevet skal det finnes gode risikoreduserende tiltak samt gode sikkerhetsindikatorer som skal måle effekten av tiltakene som utgjør det digitale forsvar og sikkerhetsnivå i virksomheten.

Sikkerhetstiltak

Enhver virksomhet må tilpasse sine sikkerhetstiltak og tekniske løsninger for å kunne oppnå forsvar i dybden og for å kunne oppnå et forsvarlig sikkerhetsnivå. Det er oftest enkle tiltak som skal på plass for å sikre verdier og IKT-systemer, enten de er teknisk- eller virksomhetsrettet. NSM har flere publikasjoner tilgjengelig på nett som peker på dette området og som kan være en starthjelp for virksomheter for å ta tak i både sikkerhetstiltak og kommunikasjonsgap. Det er viktig å forebygge og tilpasse seg mot sårbarheter og det dynamiske trusselbildet.