Sponseret indhold

Brug ikke flere penge på cybersikkerhed end nødvendigt!

Peter Brahe er COO i Institut for Cyber Risk og har arbejdet med sikkerhed i mere end 20 år.

Af:

Eller sagt på en anden måde; Hvad skal der egentlig til for at drive jeres forretning videre, når I er blevet ramt af ondsindede hackere?

Skrevet af; Peter Brahe og Rune Fog Hansen


Enhver virksomhed eller organisation lever dagligt med risikoen for at blive ramt af noget, som betyder tab af indtjening eller i værste fald tab af evnen til at fortsætte sin forretning. At flere og flere begynder at inddrage CYBER som en del af sin RISK-vurdering er et synligt eksempel på, at modenheden i Danmark er stigende, og det er efterhånden også sjældent, at vi cybersikkerhedseksperter hører erhvervsledere tale om at outsource ansvaret for cyber. 

Men det sker – og det er et udtryk for, hvor kompleks det er blevet at drive forretning i en verden, hvor truslen for at blive angrebet af ondsindede hackere bare stiger og stiger. Vi ser ofte en skævvridning i forholdet mellem teknologier, som er indkøbt for at beskytte forretningen, de mennesker, som har til job at drive den, og de processer, som gør, at det sker effektivt og sikkert. 

Lad os sige det så det ikke kan misforstås; Der findes INGEN teknologier, som kan beskytte en forretning imod hacker-angreb! Der findes gode teknologier, og nogle er tæt på geniale i deres udformning, men kæden er aldrig stærkere end det svagest led, og mennesker vil altid blive udnyttet, uanset hvor meget vi beskytter dem. Allerværst er det dog når de processer, som skal sikre at en forretning rent faktisk kan klare sig igennem et hackerangreb negligeres. 

Chefens instruks om ”ikke at være den næste virksomhed, som rammes – koste hvad det vil” er ikke et udtryk for rettidig omhu, og vil i bedste fald blot betyde spildte penge i ens cyber-investeringer. Artiklens pointe er IKKE, at man kan undlade at investere i cyber-teknologier, men at der er noget grundlæggende, der skal være på plads, inden man beslutter sig for hvilke investeringer, der er de rigtige. Mange starter rigtig nok med, at forholde sig til den trussel de står overfor, men herefter går mange fejl i byen og springer direkte til indkøbet.

Inderst inde ved vi jo godt, at det en eller anden dag nok skal lykkes for hackerne, og derfor er det nogle helt andre spørgsmål, der skal stilles, hvis man vil have noget ud af sine cyber-investeringer: 

  • Hvad skal der egentlig til for at drive kerneforretningen videre, når vi er blevet kompromitteret af hackerne? 
  • Hvilke systemer kan vi undvære, og hvilke har vi en afgørende afhængighed af? 
  • Hvad er vores plan, hvis de sidstnævnte bliver ramt? 
  • Hvis vi er afhængige af noget bestemt hardware eller software, er der så planer for at genanskaffe det inden for den tid, vores forrentning kan tåle at være offline? 
  • Har vi designet vores løsninger ud fra håb eller worst-case i forhold til den skade, de angribende hackere kan forårsage? 
  • Har vi nogensinde testet, om planen holder?

På IT-sprog hedder analysen en BUSINESS IMPACT ANALYSIS, og den plan, som skal sikre at jeres forretning kan fortsætte uden afgørende skade fra hackerangrebet, hedder en BUSINESS CONTINUITY PLAN. 

I sin enkelthed drejer det sig om at analysere, hvad man absolut IKKE kan leve uden og være meget påpasselig med at blande det sammen med, hvad der vil gøre ondt. De kritiske områder, som forretningen ikke kan fortsætte uden, er der ens cyber-investeringer skal prioriteres, og dem skal der være en krystalklar plan for. Eksempelvis kan en e-commercevirksomhed, som er i cloud, have identificeret oppetiden på sin web-platform som det absolut mest kritiske for, at forrentningen kan fortsætte, alt imens at eksempelvis økonomi- og HR-systemer midlertidigt kan erstattes af manuelle processer, selvom det naturligvis vil være besværligt for medarbejderne. 

  • Ligger back-up-kopien samme sted som de andre systemer, eller har man lavet den rigtige analyse og betaler for at have kopi opbevaret et andet sted?
  • Er der aftaler med andre hosting-udbydere, hvis det er den eksisterende, som er ramt?
  • Hvor længe kan man leve med de manuelle processer, og er det reflekteret i de aftaler, der er med udbyderne af systemerne?

Hvis analysen er udført rigtigt, rammer ens cyber-investeringer plet og står mål med cyber-risikoen – hvis ikke, spilder man sine penge og risikerer, at ens forretning i værste tilfælde må lukke. Det er afgørende, at alle virksomheder og organisationer gennemfører sin analyse og målrettet designer sine løsninger ud fra de krav, der kommer ud af den. 

Når analysen er gennemført, kan man have ro i maven og bruge de penge, man ved er nødvendige, og herfra er det blot et spørgsmål om at øve, at det værst tænkelige sker – mindst én gang om året, så alle centrale medarbejdere kender deres roller og ansvar og ikke først skal til at lære det under det rigtige angreb. Hvis man er lidt usikker på, om man har fået alt med i sin analyse eller planer, er det en rigtig god idé at få en uvildig cyber-sikkerhedsrådgiver til at se den igennem, eller – hvis man hellere vil bruge sin tid på ens kerneforretning – at få eksperterne til at hjælpe med at udarbejde og teste planerne. Når angrebet kommer, er det i hvert fald for sent at gå i gang!

Seneste nyt

P1399644.MOV.00_02_56_07
Digitale løsninger, der gør det lettere at drive køkken med omtanke
Chef preparing food in kitchen
Nye emhætter fra Øland skal løfte indeklimaet i landets storkøkkener
JacobJensen-065
Det er nu, vi skal presse citronen
Foto,1
Avanceret visuel kvalitetskontrol - drevet af skarpe hjerner og stærke værdier
fi180625
Fremtidens Industri

Mest læste på BusinessReview.dk

dmd120625
Det Maritime Danmark
Foto-1
Hvordan transformerer kunstig intelligens (AI) ejendomsbranchen?
1 (24)
AR er brudt igennem i mange brancher
j876_1
Jaguar ure til enhver lejlighed
solveigtingey_larsmathiasen
Ældreboliger og seniorboliger – er de en misforståelse?
Industriegelände
CO2-reduktion er det nye sort i byggeriets grønne omstilling
1
Nu kan ingen se, du overhaler dem på en elcykel
Struenseegården (1)
3 HURTIGE
city-g631ff45e2_1920--
DBTA giver Startups en chance for at præsentere (rejserelaterede) produkter og ydelser
Hans Schambye_119s
Biotek og biosolutions rummer svaret på klimaudfordringerne

Læs også

AI
Sådan påvirker AI din virksomhed – nu og i fremtiden
I en tid, hvor teknologi og forretning smelter sammen, er behovet for stærkt lederskab vigtigere end nogensinde. IT-branchen udvikler...
AI Regulation and Justice. Legal and Technology concept
AI rykker ind i den juridiske verden: Jurister skal lære at spørge på ny
Nu rykker teknologien ind i et af de mest traditionstunge fag: jura. AI-assistenter kan allerede i dag hjælpe jurister med at strukturere...
Samsung-Mobile-Galaxy-XCover7-Pro-and-Galaxy-Tab-Active5-Pro-Ruggedized-Devices_dl3
Sikkerhed er ikke længere valgfrit: Sådan hjælper Samsung virksomheder med at leve op til de nye EU-krav
Det nye NIS2-direktiv stiller væsentligt skrappere krav til både offentlige og private aktører i hele EU. Cybersikkerhed er ikke længere...