Riskminimering

Säkrare drift av affärskritiska system

Hackerattacker och andra digitala intrång i en verksamhet kan låta som händelser långt borta från ditt företag. En av de viktigaste frågorna för ett företag är därför att identifiera vilka risker man har. Hot och attacker är dock en sak, digitala risker en annan. Frågan man som företag bör ställa sig är vilka risker som finns i verksamheten och hur man bör skydda sig.  Sara Murby Forste, SVP Marketing & Country Manager Sweden, Basefarm, delar med sig av sina insikter.

Har behovet förändrats?

”Pratar vi driftsäkerhet har behovet hos affärskritiska system inte förändrats alls egentligen”, säger Sara Murby Forste. ”Oavsett manuellt eller automatiskt, online eller inte, måste vissa rutiner sitta. Däremot är många verksamheter nu baserade online vilket gör att tjänsterna är mer exponerade och därmed också sårbara. Systemen är ofta oerhört komplexa idag, och ingår inte systemdrift i ett företags kärnkompetens står man ganska oskyddad vid ett driftavbrott. För ett företag kan det bli oerhört kostsamt i såväl monetära som i varumärkestermer.”

En av de viktigaste frågorna för ett företag är därför att identifiera vilka risker man har. Vad är vi mest beroende av och vad är mest utsatt? Vilka är våra viktigaste tillgångar? Hur ser utmaningarna ut i branschen? Svaren ser olika ut beroende på verksamhetens art.

”Alla företag är inte utsatta för hot, däremot innebär all verksamhet någon form av risk. Vissa är beroende av att en tjänst för onlinemöten fungerar medan andra har bokningssystem som inte får ligga nere. Affärskritiska system är system som alltid måste fungera utan avbrott och det ställer krav på den dagliga driften, precis som behovet av skyddad data gör. Kreditkortsuppgifter, strategidokument, produktutveckling – allt är viktiga tillgångar och utgör därmed möjliga risker för en verksamhet.”

Så vad kan man göra?

Sara Murby Forste pekar två faktorer – teknikkompetens och ökad medvetenhet:

”Återigen måste man som företag identifiera vad man vill skydda. Rör det digitala system kan driften outsourcas till en utomstående part, specialiserade på just säker och stabil skötsel av affärskritiska applikationer. En lämplig partner erbjuder driftövervakning dygnet runt med tillhörande support. Tillgängligheten är viktig för att minska sårbarheten.

Förutom risker i driften kan reella hotbilder finnas mot företaget, såsom dataintrång (hacking)  och DDos-attacker, vilka går att addera skydd mot i den outsourcade driften. En driftleverantörs tillgång på information underlättar ett snabbt agerande vilket reducerar hot och risker; ett skydd man som enskilt företag aldrig kan komma upp till utan expertkompetens inhouse. Hos en driftleverantör är identifiering och utvärdering inbyggt i verksamhetsprocessen vilket garanterar ett dynamiskt skydd. Sara Murby Forste avslutar:

”Förutom de rent tekniska bitarna vill jag belysa vikten av medvetenhet. Samtliga inom ett företag måste vara medvetna och informerade om vikten av lösenordshantering, sekretess och sparsam access. Proaktivt arbete och genomlysningar identifierar risker och är grundläggande i arbetet med planer för hur en verksamhet snabbt ska kunna ta sig tillbaka vid en eventuell säkerhetsincident.”

Kan Australien visa vägen för ett digitalt säkrare Sverige

Kan Sveriges kommuner och annan offentlig verksamhet få säkrare digitala verksamheter genom att följa efter Australiens rekommendationer? Intrång och ökad säkerhet har varit i fokus under ett flertal år för den Australienska regeringen. Idag rekommenderar de fyra enkla aktiviteter för att täppa till hålen och hindra ca 85% av alla intrång. Det är fyra basala säkerhetsaktiveter som även den minsta IT-avdelning kan klara av och markant öka sin IT-säkerhet.

I Australien har The Australian Signals Directorate, vilka ungefär motsvarar FRA i Sverige, sammanställt 35 mitigeringar eller rekommenderade aktiviteter för att hindra cyberintrång hos den australienska offentliga sektorn.  De fyra högst prioriterade aktiviteterna beräknas hindra 85% av alla intrångsförsök. Det givet att de blir ett naturligt arbetssätt i säkerhetsarbetet och genomförs kontinuerligt.

De fyra högst prioriterade aktiviteterna är:

  1. Application whitelists – för att förhindra skadliga och icke godkända program från att användas
  2. Patcha applikationer som Java, PDF viewers, Flash, web browsers och Microsoft Office
  3. Patcha sårbarheter i operativs systems
  4. Begränsa användarrättigheter till operativsystem och applikationer utifrån behov

”Australien lyfter på ett pedagogiskt sätt fram att det är de enkla men effektiva aktivieterna som gör att man till en mycket stor del kan stoppa intrång, säger Fredrik Svantes, Senior Information Security Manager, och fortsätter: ”Här har vi i Sverige något att lära av Australien och det var därför Leif Engdahl lyfte exemplet när han representerade Basefarm hos regeringens rundabordssamtal“.


Utvärdering och rapportering

De 35 förslagna aktiviteterna utvärderas utifrån ett flertal parametrar och de rankas utifrån sammanlagd säkerhetseffektivitet. De fyra aktiviteter som rekommenderas och ger ett 85% skydd rankades högst både 2012 och 2014.


Alla verksamheter i den australienska offentlig sektor har ett ansvar att genomföra dessa 4 mitigeringar eller aktiviteter. Rapportering skall ske till ansvarig minister, Riksåklagaren och Riksrevisionen. Eventuella undantag skall dokumenteras och godkännas innan de får tillämpas.


Fungerar även för en liten IT-avdelning

”Det här är ett ganska basalt säkerhetsarbete, det handlar mer om att ta sig tid att genomföra aktiviteterna och ha en struktur t ex för användarrättigheter”, säger Fredrik Svantes och menar samtidigt att detta arbete inte är mer komplext än att t ex en liten IT-avdelning i en kommun kan klara av att kontinuerligt genomföra de fyra rekommenderade aktiviteterna.

Medborgarna i en kommun, lika så företagets kunder eller organisationens medlemmar räknar med att det finns ett tillräckligt digitalt skydd så att de kan lämna ifrån sig sina personliga data utan att vara oroliga.

Lyckade IT-partnerskap – expertens 5 bästa tips

Den 25 april höll Basefarm ett uppskattat frukostseminarium på temat: Säkerhet i molnet kontra flexibilitet och ”faster time to market”. En av talarna var Anna Rehnström – ansvarig för infrastrukturen på Basefarm. Här delar hon med sig av några av sina främsta lärdomar om hur man når ett lyckat partnerskap med sin IT-leverantör.

Alla har olika förväntningar och krav på en CIO

Anna har tidigare bland annat arbetat som såväl informationssäkerhetschef som säkerhetschef och suttit i ledningsgrupper och har därför många gånger varit delaktig i beslut om vilken IT som ska användas i olika företag. Hon beskriver rollen som CIO stundtals ensam, där du ställs inför en mängd olika kravställare som alla har olika förväntningar och krav på dig. Anna förklarar:

– Ofta handlar det om att företaget vill spara pengar. Samtidigt vill man ha ett välfungerande IT-system där man kan bygga tjänster som tar kunden till månen och tillbaka – och som dessutom skyddar informationen som flödar i dem. Och så vill man självklart även tjäna mer pengar också. Varsågod kära CIO – fixa det.

Du blir såklart även överöst med information från leverantörer som säger att just deras lösning är både billigast, bäst och dessutom hur säker som helst. Kvar står den ensamme CIO:n och tänker:

”Vad gör jag nu?”

För att svara på denna fråga tog Anna tillfället i akt att dela med sig av olika tips och spaningar som hon har tagit med sig från sina yrkesroller genom karriären.


Business Impact Analysis:

Never leave home without it! Detta är det första du behöver innan påbörjar sökandet efter ”den rätta” partnern. Det är grundbulten i en tydlig strategi från ledning och företaget som fastställer vilken information, vilka tjänster och vilka funktioner som är livsviktiga för företagets överlevnad. Vad är det som vi måste skydda?


Klassning (informationssäkerhetsklassning):

Är det en sak du bör göra innan du implementerar ett ledningssystem för informationssäkerhet så är det att klassa information. Att sätta kriterier för hur du och din verksamhet skyddar konfidentialitet, integritet, tillgänglighet och spårbarhet. Detta har givetvis blivit högaktuellt i och med GDPR, men det är samtidigt guld värt att kunna visa för sin partner, eller blivande partner hur ni klassar olika typer av data, innan ni påbörjar samarbetet.


Matchning:

Se till att ni har en partner som speglar era behov av organisatoriska funktioner. Att det exempelvis finns en CISO på andra sidan som ni kan diskutera med, som kan ta till sig an era utmaningar och som verkligen förstår dem.


Effektmål:

För att få ett snabbt beslut från ledningen vill det till att du har ett tydligt underlag för hur samarbetet ska bidra till företagets lönsamhet. Få dem att se på IT som en möjliggörare – inte bara en stor kostnadsbulk. Hitta en leverantör som tydligt kan visa kur de ska kunna hjälpa er att förverkliga dessa möjligheter.

Data i sig saknar intelligens – Men att använda data är smart

Den ökade förekomsten av Big Data öppnar nya möjligheter. Genom att investera i framtiden och utforska olika användningsområden tillsammans med kunder i olika branscher kan Basefarm skapa marknadsledare.

Användningsområden för Big Data-projekt finns överallt. Ta till exempel förutsägelseanalys för underhåll inom offshoreindustrin (för till exempel vindturbinunderhåll) och möjligheterna med att visa kunder i turismbranschen 360-gradersvyer. Men för att kunna blomstra i den här miljön, som står i snabb utveckling, blir det allt viktigare att vara snabb och flexibel. Många av Basefarms kunder står inför utmaningen att blanda och matcha snabba arbetssätt (som DevOps-miljöer) med traditionella processer och infrastrukturer, vilket resulterar i en leveransmodell och verksamhet av hybridtyp.

”Med tanke på detta behöver områden som säkerhet, IoT och Big Data extra fokus”, säger Stefan Månsby, Senior Director of Product Management & Big Data på Basefarm. ”Via vår säkerhetsavdelning levererar vi säkerhetstjänster dygnet runt, alla dagar i veckan. Och nu hjälper vi också många av våra kunder att förstå att de i väldigt många fall har ett gyllene tillfälle att tillämpa sin domänexpertis på sina befintliga tillgångar av outforskade data”.

DATA ÄR DEN NYA OLJAN

Även företagen själva blir allt mer datadrivna. De blir i allt större utsträckning ”hybrider” ur teknisk synvinkel och blandar och matchar traditionella och moderna IT-infrastrukturer. Genom att göra all sin data tillgängliga i en enda stor pool kan företag använda sig av en ny typ av beslutsfattande där man i högre grad förlitar sig på datavetenskap. Detta kan öppna upp för nya möjligheter till icke-linjär tillväxt och till att företagen överskrider de traditionella gränser som kan finnas mellan olika branscher. Ett välkänt exempel är Tesla som i sitt arbete med att påskynda omvärldens övergång till hållbar energi bygger solpaneler, batterier och elbilar.

De flesta företag bleknar vid en jämförelse med Tesla. Men det betyder inte att de inte ska satsa på stordata. De vanligaste användningsområdena för stordata är tillverkning, service och underhåll. Det finns till exempel potentiella fördelarna med prediktivt underhåll. Genom att samla in och analysera data från maskindelar blir det möjligt att förutsäga var driftstopp kan komma att uppstå och planera för förebyggande underhåll. En av Basefarms kunder utför underhåll på vindkraftparker i Östersjön. De har bara ett fåtal fartyg som kan lyfta in kullager i vindturbiner, men tack vare att de använder sig av AI för beräkna optimala rutter för fartygen, sparar de miljontals euro varje år.

NI HAR DATA
– NU ÄR DET DAGS ATT ANVÄNDA DET

Det finns många användningsområden för Big Data. Månsby: ”Vi på Basefarm organiserar workshops med våra kunder som genererar hundratals idéer och scenarier.”

Nästa steg är oftast att utforma ett Proof of Concept (PoC) för att presentera för bolagets styrelse.

”I princip kan vi gå från whiteboard till en fungerande första PoC på 8 till 12 veckor”, säger Månsby.

”Storleken på företaget spelar ingen roll. Det gör ingen skillnad om ni är BMW eller ett mindre företag. Om mycket av beslutsfattandet i företaget sker i den översta ledningen, och datavetenskap verkar vara lite väl mycket ”Star Trek” för dem, brukar vi ibland ge dem åtkomst till en liten delmängd data som de kan få titta närmare på i en bärbar dator. Så de får en känsla för möjligheterna och börjar förstå att den här tekniken inte handlar om svart magi och inte heller är en experimentell labbprodukt. Den finns i verkligheten, den finns redan nu och den kan hjälpa er att nå stora mål vad gäller ökad effektivitet och hållbarhet och hitta nya intäktskällor.”

 

 

Insurtech blir det nya fintech

Wannacry = Pojken & Vargen

Det är lätt att vara efterklok i spåren efter Wannacry – den globala ransomwareattacken som nu växer sig allt större. “Företag och organisationer har blivit vana att får varningar om hot, utan att de sen har blivit utsatta för dem. Därför är det frestande att ignorera ransomware hot och att inte vara alerta med att göra uppdateringar. Men arbetssättet att skydda sig mot ransomware ger också ett bra skydd mot många andra hot”, säger Fredrik Svantes, ansvarig för Basefarms SIRT (Security Incident Response Team).

Det är lätt att se likheter med sagan om Pojken och vargen. Men nu dök vargen i form av Wannacry upp och ett stort antal företag blev drabbade. Här hittar du Basefarms bästa tips, insikter och arbetssätt för en säkrare verksamhet.


Det är bekräftat att Wannacry nyttjat ett känt säkerhetshål i Windows. Microsoft släppte en patch för hålet i april, men många företag har inte tillräckligt snabbt uppdaterat och säkrat. Det är ett hårt arbeta att ligga steget före och att kontinuerligt säkra sin verksamhet. På Basefarm arbetar bland andra SIRT teamet aktivt med att följa säkerhetsrelaterade aktiviteter och de ansvarar även för att alla anställda har ett genomgående och kontinuerligt säkerhetstänk i alla led. Att systematiskt och automatiskt arbeta med säkerhet är det som bäst ger ett skydd mot de allt oftare förekommande negativa aktiviteterna.

Här har vi samlat Basefarms bästa tips, insikter och arbetssätt för en säkrare verksamhet.


Motverka Ransomware

Ransomware är ett hot. I bloggposten “Protect your organization before ransomware strikes” ger Fredrik Svantes 8 punkter för ett mer arbetssätt som skapar ett starkare skydd gentemot Ransomware.

  1. Ensure the organization has the right knowledge and culture
  2. Establish routines for handling attacks and ensure that everybody knows them
  3. Have a backup and make sure it works
  4. Segment networks and rights
  5. Ensure that all software is up to date
  6. Limit what programs the users can run
  7. Have an updated firewall
  8. Use intrusion detection systems (IDS)

Säkerhetsteam utan säkerhetsexperter

“Även om företaget saknar regelrätta säkerhetsexperter går det att få till ett starkt säkerhetsteam – genom att kombinera kunskapen hos olika medarbetare. Så gjorde driftleverantören Basefarm. IDG har intervjuat Fredrik Svantes om hur vi arbetar med SIRT (Security Incident Response Team).

Läs hela artikeln på IDG här!


Genomgång av säkerhetsplaneringen

Vi har listat sex säkerhetsområden som alla företag garanterat behöver ta med i sin säkerhetsplanering under 2017. Nu är det hög tid att göra en genomgång inför andra halvåret 2017. Läs hela artikeln här

  1. Ökat antal klientattacker
  2. Fler serverattacker genom växande botnät
  3. Ransomware, en allt mer viktig inkomstkälla
  4. O:et behöver försvinna från ”osäkert med Internet of Things”
  5. General Data Protection Regulation – förkortningen som ökar både säkerheten och arbetsbördan under 2017
  6. Automatiserade säkerhetsprocesser kräver mer säkerhetskompetens.

Australien visar vägen

Kan Sveriges kommuner och annan offentlig verksamhet få säkrare digitala verksamheter genom att följa efter Australiens rekommendationer? Intrång och ökad säkerhet har varit i fokus under ett flertal år för den Australienska regeringen. Idag rekommenderar de fyra enkla aktiviteter för att täppa till hålen och hindra ca 85% av alla intrång. Det är fyra basala säkerhetsaktiveter som även den minsta IT-avdelning kan klara av och markant öka sin IT-säkerhet.


Above the Clouds

Above the clouds är till för dig som vill vet det senaste inom säkerhet. Där får du ta bland annat ta del av SIRT (Security Information Respons Teams) nyhetsbrev och annat intressant.

Ingår innovation i vardagen i ert arbetssätt 2018?

Små steg ger innovation

För ett par dagar sen var jag på ett möte där vi pratade om innovation och vi kom in på vikten av att bedriva vardagsinnovation. Att varje dag ha fokus på att göra något lite bättre, detalj för detalj, dag för dag. Det ger en kontinuerlig förändringsprocess och nyfikenhet som är kärnan i vardagsinnovation. Det ökar även takten på innovationstempot.

Jag reflekterade direkt att det är så Basefarms kundteam arbetar tillsammans med våra kunder. Att genom ett nära dagligt samarbete mellan kundteam och teamet hos kunden har vi hela tiden en öppen dialog om nya lösningar, nya behov och hur vi tillsammans kan förbättra olika processer. Det ger helt klart att dessa små steg av innovation i vardagen skapar en kontinuerlig förbättring och nya idéer.


En mognadstrappa ger en helhetsbild

Vår undersökning under 2017 som mynnade ut i The Next Step Cloud Report är även det ett bra exempel på vardagsinnovation. Det har varit mycket spännande att se nya insikter och mönster har växt fram. Men det är minst lika intressant att se hur mycket som stämmer överens med vår egen erfarenhet av våra kunders resa.  Och den mycket positiva responsen på rapporten visar att våra insikter även har fyllt ett kunskapsbehov kring de olika stegen som ett företag går igenom under sin digitaliserings- och cloudresa.


Ger mer relevanta frågor

Personligen har mognadstrappan i The Next Step Cloud Report gett mig en uppdaterad helhetsbild och på ett bra sätt tydliggjort vilka frågeställningar som är mer kritiska och relevanta för oss att ställa till företag beroende på hur långt man har kommit i sin digitala transformation och cloudresa. Men mognadstrappans fem steg ger mig även en måttstock på hur vårt samarbete med våra kunder har utvecklats – att vi t.ex. har initierat samarbete på Level 2 – On the runway och idag är de på väg över till Level 4 – In the Cloud. Det är en fantastisk förmån att få vara med om dessa resor tillsammans med våra kunder.


Hur långt har ditt företag kommit i er cloudresa?

Vilket av följande påstående passar bäst in på ditt företag?

  • “Our company has no cloud computing plans today” – ON THE GROUND
  • “Our company will begin or has just begun our cloud adoption journey. Customer demands and/or competition force us to take the step into the cloud” – ON THE RUNWAY
  • “Our company has a cloud roadmap and is moving forward. We have started moving some application to the cloud as initial projects” – READY FOR TAKE OFF
  • “Our company has a cloud roadmap and we keep evolving. We have managed many challenges shifting legacy and/or on premise operations to the cloud. As a result we have gained shorter time to market” – IN THE CLOUD
  • “Our company embrace the cloud fully. It is not only place but also foundation for a new way agile way of working with development within the company. We are ahead of our competitors” – IN THE ORBIT

Vill du veta mer, maila mig och jag bjuder dig på lunch för att berätta mer om de olika stegen och vilka utmaningar vi ser.

Håkan Palmbäck
Försäljningschef på Basefarm
hakan.palmback@basefarm.com