Sponseret indhold

It-sikkerhed må ikke blive en papirøvelse

Martin Kofoed, Administrerende Direktør hos Improsec.

Af:

It-sikkerhed skal styrke forretningen og må ikke blot blive en papirøvelse, der kun sikrer, at direktiver som GDPR og NIS2 bliver overholdt. Hvis it-sikkerhed skal gøre en forskel for virksomhederne, er det helt centralt, at det strategiske og operationelle niveau hænger sammen, at it-sikkerhed bliver anskuet holistisk, og at der er klare kommunikationslinjer mellem topledelsen og maskinrummet.

Danske virksomheder og organisationer er i skudlinjen, når det kommer til cyberangreb. Tal fra PwC Cybercrime Survey 2022 viser, at mere end seks ud af ti erhvervsledere og it-fagfolk er mere bekymrede for angreb i dag end for blot et år siden. En af hovedårsagerne til bekymringerne er Danmarks engagement i krigen i Ukraine, der blandt andet har udløst en stribe af DDoS-angreb, de såkaldte belastningsangreb, hvor hjemmesider eller mobiladgang til banken går ned, fordi it-kriminelle bevidst overbelaster siden. I kølvandet på de mange angreb og for at beskytte data har EU lanceret direktiver som GDPR, og i 2024 venter NIS2, der kommer med skærpede krav til virksomhedernes it-sikkerhed. 

”Cybersikkerheden er truet, og det er naturligvis vigtigt, at virksomhederne lever op til direktiverne. Når det er sagt, vil vi gerne understrege vigtigheden af, at virksomhederne beskæftiger sig med it-sikkerheden, fordi de ønsker at sikre produktionen og beskytte data. It-sikkerhed er vigtig, fordi der er en trussel mod virksomheden, og ikke fordi der kommer et direktiv,” siger Thomas Wong, Director for Technical Cyber Risk Advisory hos Improsec og uddyber: ”Jeg har fx heller ikke en airbag i min bil, fordi loven dikterer det, men fordi airbaggen kan redde mig i et uheld. På samme måde skal en virksomhed, der eksempelvis producerer stål, have it-sikkerheden på plads for at sikre, at produktionen ikke bliver truet eller går i stå”.  

Virksomhederne skal se indad
Sikkerhed er blevet mere kompleks i dag. Der er mange aspekter af sikkerhed, som en virksomhed skal tage højde for. Dette kan være en udfordring for virksomheder, der ikke har tilstrækkelige ressourcer eller ekspertise til at forstå og forholde sig til disse trusler og risici. Hos Improsec, der er specialister i at udføre operationelle it-sikkerhedstests og sikkerhedsrådgivning, ser de en risiko ved, at it-sikkerheden hos virksomhederne bliver en papiropgave, der reelt ikke styrker virksomhederne. 

”Med GDPR er it-sikkerhed for alvor rykket ind på ledelsesgangene, og det er fint. Desværre ser vi en tendens til, at kommunikationen mellem topledelsen og maskinrummet ikke fungerer optimalt,” siger Thomas Wong: 

”Compliance og kontrol er godt, men tekniske test og afprøvning er et vilkår og en nødvendighed for effektiv håndtering af risiko. Det kræver, at ledelsen forstår det tekniske bag sikkerheden, og CISO’erne forstår strategien fra ledelsen.”

Forstå teknikken bag sikkerheden
Ifølge Improsec kræver det, at virksomhederne sætter sig ind i teknikken i maskinrummet og styrker kommunikationen, så der ikke opstår et vakuum, hvor ledelsen nikker til en stribe af tekniske rapporter med grønne flueben fra maskinrummet, uden teknikken er kendt.  

”Hvis virksomhederne faktisk havde et indblik i det operationelle – altså teknikken, ville de forskellige EU-direktiver slet ikke slå så hårdt, fordi indsigten vil understøtte, at der er styr på sikkerheden,” forklarer Thomas Wong.  

Hos Improsec har de netop specialiseret sig i at hjælpe virksomhederne med at forstå teknikken bag samt at bidrage med overvågningen, så de sikkerhedsansvarlige får de rigtige redskaber, så de kan kommunikere klart til ledelsen. 

”Virksomhederne er nødt til at anlægge en holistisk tilgang til it-sikkerheden, fordi de it-kriminelle altid vil lede efter en åben dør, indtil de finder en. Det nytter ikke noget, hvis tilgangen til it-sikkerheden bliver for løs og sporadisk, for så finder de it-kriminelle hurtigt den dør, de kan komme ind gennem,” forklarer Improsecs Administrerende Direktør, Martin Kofoed.

Et eksempel kan være, at virksomheder benytter sig af multifaktor-godkendelser, når medarbejderne logger ind på et system. Men har virksomheden samme sikre tilgang, når et nyt system eller en applikation gøres tilgængelig for kunderne? Hvis der ikke er en sammenhæng, bliver it-sikkerheden skrøbelig, fordi kæden aldrig er stærkere end det svageste led. 

De nye angreb er gamle kendinge
”Typen af angreb, vi ser for tiden, er ikke nye. Men med Rasmus Paludans koranafbrændinger og Danmarks engagement i krigen i Ukraine oplever vi nu, at angrebene ikke længere kun er møntet på at få politisk opmærksomhed, men på at ødelægge den teknologiske infrastruktur,” siger Martin Kofoed og uddyber:

”Pointen er, at havde virksomhederne kendt teknologien og allerede beskyttet sig mod DDoS-angreb, da vi så dem de første gange for år tilbage, havde vi ikke problemerne med dem nu. Den gang var de ikke top of mind, men det burde have været håndteret for længe siden.”

Trusselskatalog kunne hjælpe virksomhederne
Hos Improsec efterlyser de mere åbenhed virksomhederne imellem. Og så efterlyser it-sikkerhedseksperterne, at myndighederne fx udarbejder et trusselskatalog, så virksomhederne kan se, hvilke konkrete sikkerhedstrusler de skal forholde sig til. Det vil være mere motiverende og konstruktivt end at true med EU-direktiver som GDPR og NIS2, der kan udløse høje bødestraffe, retten til at drive virksomhed osv. 

Et rammeværk, der faktisk beskriver truslerne, vil gøre det lettere for virksomhederne at skabe en holistisk tilgang til it-sikkerhed med klar kommunikation mellem det strategiske og operationelle plan i virksomheden. 

Vi er Improsec. Vores firmanavn er en sammentrækning af det, vi gør; vi forbedrer sikkerheden. Som en uvildig og uafhængig rådgiver indenfor Cybersikkerhed tager vi aktivt ansvar for at forbedre sikkerheden hos både private virksomheder, organisationer og offentlige institutioner. Vi sælger ikke hardware, software eller managed services. Vi leverer viden, erfaring samt strategisk og dyb teknisk ekspertise på specialistniveau. Vigtigst af alt, arbejder vi for en mere SIKKER og BEDRE fremtid sammen med vores kunder.

Læs mere på www.improsec.com 

Seneste nyt

brnt 290425
New Tech
Foto BRE 240425
PODCAST: Er kontoret stadig relevant – eller skal det genopfindes?
Samsung-Mobile-Galaxy-XCover7-Pro-and-Galaxy-Tab-Active5-Pro-Ruggedized-Devices_dl3
Sikkerhed er ikke længere valgfrit: Sådan hjælper Samsung virksomheder med at leve op til de nye EU-krav
GlobalConnect network operations center
GlobalConnect investerer i AI-drevet platform for at revolutionere kundeoplevelsen
per_husted (1) - lav opløsing
Kunstig intelligens må aldrig blive et mål i sig selv

Mest læste på BusinessReview.dk

Billede 3
Bioneer definerer udviklingsprogrammer for de næste fire år
dmd200325
Det Maritime Danmark
Legalhero--
Digitalisering og personlig service skal gå hånd i hånd
Peder Søgaard-Pedersen ny
Life science og biotek er en hjørnesten for et konkurrencedygtigt Europa
cø100425
Cirkulær Økonomi
1-_MG_1348
Danske designer-smykker til mænd
KJ4A9326--
Nu får den danske ejendomsbranche et spark bagi af de unge talenter
industry-970151_1920
Ny belægning i gamle rør giver helt nye energi-muligheder
3 hurtige billede
3 HURTIGE
House facade in Copenhagen, Denmark. Real estate investment
EjendomDanmark: Tre anbefalinger til at styrke huslejenævnene

Læs også

Samsung-Mobile-Galaxy-XCover7-Pro-and-Galaxy-Tab-Active5-Pro-Ruggedized-Devices_dl3
Sikkerhed er ikke længere valgfrit: Sådan hjælper Samsung virksomheder med at leve op til de nye EU-krav
Det nye NIS2-direktiv stiller væsentligt skrappere krav til både offentlige og private aktører i hele EU. Cybersikkerhed er ikke længere...
GlobalConnect network operations center
GlobalConnect investerer i AI-drevet platform for at revolutionere kundeoplevelsen
GlobalConnect investerer i en avanceret platform, som overvåger driften af netværk og kan forudsige, opdage og løse problemer hurtigere....
per_husted (1) - lav opløsing
Kunstig intelligens må aldrig blive et mål i sig selv
Mit første job var som avisbud. Ikke noget særligt, da det jo var indgangen til arbejdsmarkedet for mange på min alder. Men gennem...