Per Lagerström
Med ökade krav både från myndigheter, kunder och medarbetare är företagets IT-säkerhet inte längre en fråga som ”dom löser på IT-avdelningen”, det är en fråga för organisationens ledning.
- Det märks inte minst på vem det är som får de böter som delas ut, konstaterar Andreas Hegna. Det är ledningar som får böter. Inte IT-chefen.
Och för att ledningen skall ta till sig IT- och cybersäkerheten på rätt sätt, måste den börja betraktas som en investering som också kan ge organisationen ett ökat värde (vilket det gör). En avgörande pusselbit är att också se till att fördelningen av roller och ansvar är på plats. Det räcker inte längre att bara ha en policy på papper, med nya skarpare direktiv av typen GDPR Artikel 25, måste företag och organisationer också kunna svara på hur man gör sin säkerhet, inte bara hur policyn ser ut.
“Roller och ansvar är viktigare än policies.”
Ju tidigare säkerhetsbrister i ett företags digitala miljö och tjänster kan upptäckas, desto bättre. Det är innebörden i den så kallade ”shift-left-strategin”. Men för att nå tid måste företag och organisationer börja i rätt ände: med roll- och ansvarsfördelning. Det menar Andreas Hegna, grundare av Tagore och expert på cybersäkerhet. Tagore hjälper företag att automatisera mycket av styrning och ledning kring cybersäkerhet. Men just säkerheten i designfasen går inte att automatisera. Den behöver göras manuellt och tre saker är viktigast att prioritera:
- Security awareness – att genom utbildning öka förståelsen för att säkerheten är viktig är en grundläggande start för att klara av att prioritera arbetet.
- Källkodsscanning – att redan från början ha rutiner på plats för att hålla koll på var ev säkerhetsproblem kan uppstå.
- Rutiner för hanteringen av fel och brister – när felen väl uppstår behövs tydliga rutiner och fördelning av roller och ansvar inom organisationen. Just det sistnämnda lyfter Andreas Hegna fram som en nyckelfråga.
En god dokumentation över hur organisationen hanterar sin cybersäkerhet är ett krav från både myndigheter, kunder och samarbetspartners. Och enligt Andreas är det också något som ger konkurrensfördelar. Öppenhet och ett proaktivt perspektiv på det egna säkerhetsarbetet är det som skapar tillit hos kunder och partners. Det menar Andreas Hegna, men pekar också på att många organisationer förgäves letar efter standards att luta sig mot och hänvisa till.
Artikel 25 inom GDPR, är ett exempel där många organisationer felaktigt tror att det finns en färdig standard kring hur man skall hantera Security and Privacy by Design.
- Det finns ingen standard, konstaterar Andreas. Organisationen måste själv ta ställning till och veta hur den hanterar de här frågorna. Och här kommer det proaktiva perspektivet åter in i bilden. En tydlig och enkel beskrivning, där man kortfattat kan svara på de grundläggande frågorna, räcker ofta långt, medan osäkerhet bara leder till fler frågor, längre frågeformulär och mer dokumentation.
- Sånt tar tid, det förlänger säljprocesser och stjäl resurser, konstaterar Andreas Hegna. Min uppmaning till säljorganisationer är att betrakta säkerhetsdokumentationen som bra säljmaterial.
För att ledningen för en organisation skall kunna ta ansvaret för cybersäkerheten krävs tydliga och mätbara mål. Och att man mäter rätt saker. Det handlar många gånger om att definiera riskerna och bestämma vem som äger dessa. När cybersäkerheten i en organisation inte längre går att betrakta som ”något som IT tar hand om” så behöver också ledningen tydligt definiera de olika risker som organisationen står inför – och framförallt – vem som äger dessa.
- Företagets vd måste i grunden veta vem som är ansvarig och vem som gör vad, säger Andreas Hegna.
Riskerna kan vara allt från finansiella och kommersiella till organisatoriska och legala. Det viktiga är att organisationen skapar tydliga mätpunkter kring hur man upprätthåller säkerheten.
- För att en ledning skall kunna ta sitt ansvar för den samlade cybersäkerheten, behövs både mätbara KPI:er och rätt KPI:er, säger Andreas Hegna. Ledningen ska inte fastna i detaljer, den ska se att utvecklingen går åt rätt håll.
“Säkerhets-dokumentation är bra marketing.”
Historiskt har säkerhetsavdelningen på ett företag ofta varit känt som ”platsen där goda idéer dör”. skrattar Andreas. Men det håller på att förändras. Nu är cybersäkerheten en kvalitetsstämpel för hela organisationen. Från department of ”no” till department of “go”. Det är Andreas Hegnas vision för hur en organisation bör betrakta och använda de som är ansvariga för cybersäkerheten. Rätt utnyttjat är säkerhet något som skapar tillit och förtroende både hos kunder och investerare.
Det företag som kan visa att man har varor och tjänster med hög kvalitet och en hög säkerhet kan använda detta som en konkurrensfördel menar Andreas Hegna och för jämförelsen med ett köp av en begagnad bil.
- Du nöjer dig ju inte med att bilen ser bra ut i lacken. Du vill ju också veta att ingen har skruvat på bromsarna själv i garaget. Det är samma sak med cybersäkerheten, den är en del av kvalitetsstämpeln.
Lyssna på hela avsnittet på Spotify här:
Upptäck 2025-versionen av vår kurs i informationssäkerhet här.
