Boosta era intäktsströmmar

Innovation och IT-utveckling

Kickstarta er digitala strategi

Riskminimering

Säkrare drift av affärskritiska system

Hackerattacker och andra digitala intrång i en verksamhet kan låta som händelser långt borta från ditt företag. En av de viktigaste frågorna för ett företag är därför att identifiera vilka risker man har. Hot och attacker är dock en sak, digitala risker en annan. Frågan man som företag bör ställa sig är vilka risker som finns i verksamheten och hur man bör skydda sig.  Sara Murby Forste, SVP Marketing & Country Manager Sweden, Basefarm, delar med sig av sina insikter.

Har behovet förändrats?

”Pratar vi driftsäkerhet har behovet hos affärskritiska system inte förändrats alls egentligen”, säger Sara Murby Forste. ”Oavsett manuellt eller automatiskt, online eller inte, måste vissa rutiner sitta. Däremot är många verksamheter nu baserade online vilket gör att tjänsterna är mer exponerade och därmed också sårbara. Systemen är ofta oerhört komplexa idag, och ingår inte systemdrift i ett företags kärnkompetens står man ganska oskyddad vid ett driftavbrott. För ett företag kan det bli oerhört kostsamt i såväl monetära som i varumärkestermer.”

En av de viktigaste frågorna för ett företag är därför att identifiera vilka risker man har. Vad är vi mest beroende av och vad är mest utsatt? Vilka är våra viktigaste tillgångar? Hur ser utmaningarna ut i branschen? Svaren ser olika ut beroende på verksamhetens art.

”Alla företag är inte utsatta för hot, däremot innebär all verksamhet någon form av risk. Vissa är beroende av att en tjänst för onlinemöten fungerar medan andra har bokningssystem som inte får ligga nere. Affärskritiska system är system som alltid måste fungera utan avbrott och det ställer krav på den dagliga driften, precis som behovet av skyddad data gör. Kreditkortsuppgifter, strategidokument, produktutveckling – allt är viktiga tillgångar och utgör därmed möjliga risker för en verksamhet.”

Så vad kan man göra?

Sara Murby Forste pekar två faktorer – teknikkompetens och ökad medvetenhet:

”Återigen måste man som företag identifiera vad man vill skydda. Rör det digitala system kan driften outsourcas till en utomstående part, specialiserade på just säker och stabil skötsel av affärskritiska applikationer. En lämplig partner erbjuder driftövervakning dygnet runt med tillhörande support. Tillgängligheten är viktig för att minska sårbarheten.

Förutom risker i driften kan reella hotbilder finnas mot företaget, såsom dataintrång (hacking)  och DDos-attacker, vilka går att addera skydd mot i den outsourcade driften. En driftleverantörs tillgång på information underlättar ett snabbt agerande vilket reducerar hot och risker; ett skydd man som enskilt företag aldrig kan komma upp till utan expertkompetens inhouse. Hos en driftleverantör är identifiering och utvärdering inbyggt i verksamhetsprocessen vilket garanterar ett dynamiskt skydd. Sara Murby Forste avslutar:

”Förutom de rent tekniska bitarna vill jag belysa vikten av medvetenhet. Samtliga inom ett företag måste vara medvetna och informerade om vikten av lösenordshantering, sekretess och sparsam access. Proaktivt arbete och genomlysningar identifierar risker och är grundläggande i arbetet med planer för hur en verksamhet snabbt ska kunna ta sig tillbaka vid en eventuell säkerhetsincident.”

Kan Australien visa vägen för ett digitalt säkrare Sverige

Kan Sveriges kommuner och annan offentlig verksamhet få säkrare digitala verksamheter genom att följa efter Australiens rekommendationer? Intrång och ökad säkerhet har varit i fokus under ett flertal år för den Australienska regeringen. Idag rekommenderar de fyra enkla aktiviteter för att täppa till hålen och hindra ca 85% av alla intrång. Det är fyra basala säkerhetsaktiveter som även den minsta IT-avdelning kan klara av och markant öka sin IT-säkerhet.

I Australien har The Australian Signals Directorate, vilka ungefär motsvarar FRA i Sverige, sammanställt 35 mitigeringar eller rekommenderade aktiviteter för att hindra cyberintrång hos den australienska offentliga sektorn.  De fyra högst prioriterade aktiviteterna beräknas hindra 85% av alla intrångsförsök. Det givet att de blir ett naturligt arbetssätt i säkerhetsarbetet och genomförs kontinuerligt.

De fyra högst prioriterade aktiviteterna är:

  1. Application whitelists – för att förhindra skadliga och icke godkända program från att användas
  2. Patcha applikationer som Java, PDF viewers, Flash, web browsers och Microsoft Office
  3. Patcha sårbarheter i operativs systems
  4. Begränsa användarrättigheter till operativsystem och applikationer utifrån behov

”Australien lyfter på ett pedagogiskt sätt fram att det är de enkla men effektiva aktivieterna som gör att man till en mycket stor del kan stoppa intrång, säger Fredrik Svantes, Senior Information Security Manager, och fortsätter: ”Här har vi i Sverige något att lära av Australien och det var därför Leif Engdahl lyfte exemplet när han representerade Basefarm hos regeringens rundabordssamtal“.


Utvärdering och rapportering

De 35 förslagna aktiviteterna utvärderas utifrån ett flertal parametrar och de rankas utifrån sammanlagd säkerhetseffektivitet. De fyra aktiviteter som rekommenderas och ger ett 85% skydd rankades högst både 2012 och 2014.


Alla verksamheter i den australienska offentlig sektor har ett ansvar att genomföra dessa 4 mitigeringar eller aktiviteter. Rapportering skall ske till ansvarig minister, Riksåklagaren och Riksrevisionen. Eventuella undantag skall dokumenteras och godkännas innan de får tillämpas.


Fungerar även för en liten IT-avdelning

”Det här är ett ganska basalt säkerhetsarbete, det handlar mer om att ta sig tid att genomföra aktiviteterna och ha en struktur t ex för användarrättigheter”, säger Fredrik Svantes och menar samtidigt att detta arbete inte är mer komplext än att t ex en liten IT-avdelning i en kommun kan klara av att kontinuerligt genomföra de fyra rekommenderade aktiviteterna.

Medborgarna i en kommun, lika så företagets kunder eller organisationens medlemmar räknar med att det finns ett tillräckligt digitalt skydd så att de kan lämna ifrån sig sina personliga data utan att vara oroliga.

Lyckade IT-partnerskap – expertens 5 bästa tips

Den 25 april höll Basefarm ett uppskattat frukostseminarium på temat: Säkerhet i molnet kontra flexibilitet och ”faster time to market”. En av talarna var Anna Rehnström – ansvarig för infrastrukturen på Basefarm. Här delar hon med sig av några av sina främsta lärdomar om hur man når ett lyckat partnerskap med sin IT-leverantör.

Alla har olika förväntningar och krav på en CIO

Anna har tidigare bland annat arbetat som såväl informationssäkerhetschef som säkerhetschef och suttit i ledningsgrupper och har därför många gånger varit delaktig i beslut om vilken IT som ska användas i olika företag. Hon beskriver rollen som CIO stundtals ensam, där du ställs inför en mängd olika kravställare som alla har olika förväntningar och krav på dig. Anna förklarar:

– Ofta handlar det om att företaget vill spara pengar. Samtidigt vill man ha ett välfungerande IT-system där man kan bygga tjänster som tar kunden till månen och tillbaka – och som dessutom skyddar informationen som flödar i dem. Och så vill man självklart även tjäna mer pengar också. Varsågod kära CIO – fixa det.

Du blir såklart även överöst med information från leverantörer som säger att just deras lösning är både billigast, bäst och dessutom hur säker som helst. Kvar står den ensamme CIO:n och tänker:

”Vad gör jag nu?”

För att svara på denna fråga tog Anna tillfället i akt att dela med sig av olika tips och spaningar som hon har tagit med sig från sina yrkesroller genom karriären.


Business Impact Analysis:

Never leave home without it! Detta är det första du behöver innan påbörjar sökandet efter ”den rätta” partnern. Det är grundbulten i en tydlig strategi från ledning och företaget som fastställer vilken information, vilka tjänster och vilka funktioner som är livsviktiga för företagets överlevnad. Vad är det som vi måste skydda?


Klassning (informationssäkerhetsklassning):

Är det en sak du bör göra innan du implementerar ett ledningssystem för informationssäkerhet så är det att klassa information. Att sätta kriterier för hur du och din verksamhet skyddar konfidentialitet, integritet, tillgänglighet och spårbarhet. Detta har givetvis blivit högaktuellt i och med GDPR, men det är samtidigt guld värt att kunna visa för sin partner, eller blivande partner hur ni klassar olika typer av data, innan ni påbörjar samarbetet.


Matchning:

Se till att ni har en partner som speglar era behov av organisatoriska funktioner. Att det exempelvis finns en CISO på andra sidan som ni kan diskutera med, som kan ta till sig an era utmaningar och som verkligen förstår dem.


Effektmål:

För att få ett snabbt beslut från ledningen vill det till att du har ett tydligt underlag för hur samarbetet ska bidra till företagets lönsamhet. Få dem att se på IT som en möjliggörare – inte bara en stor kostnadsbulk. Hitta en leverantör som tydligt kan visa kur de ska kunna hjälpa er att förverkliga dessa möjligheter.