Forstå det trusselbillede, der er relevant for netop jer
Integreret risikostyring skaber sammenhæng på alle niveauer i beskyttelsen af mennesker, processer og forretningsaktiver.
Af: Gorm Grosen Christiansen, leder af Globeteams forretningsenhed for cyber- og informationssikkerhed
Virksomheders sikkerhedsudfordringer kan formuleres ved hjælp af tre tangenter, der skærer hinanden på forskellige punkter i et koordinatsystem:
- Forholdet mellem dem, der har risikoejerskabet (strategisk niveau), dem, der skal omsætte risikoejerskabets vilje til handling (taktisk niveau), og dem, der skal udleve og eksekvere på baggrund af handleplaner, politikker og retningslinjer (operationelt niveau)
- Forholdet mellem central og decentral digitalisering. Decentrale forretningsenheder driver oftere og oftere selv digitaliseringsdagsordenen, fordi udbredelsen af navnlig cloud-services har gjort det nemt og hurtigt at anskaffe og implementere it
- Den hyperkomplekse trusselsudvikling. Sikkerhedstruslen er i kraftig vækst, og modstanderne omfatter fremmede statsmagter, ekstremistiske grupperinger, hackere og alt derimellem. Netop fordi trusselsbilledet er så nuanceret, ender mange virksomheder med at håndtere hver trussel i siloer i stedet for at samtænke de analyser og handlinger, der skal minimere sandsynligheden for at blive ramt af angreb
Det er tilgangen til den tredje tangent i koordinatsystemet – et tværgående forsvar mod fysiske og virtuelle sikkerhedstrusler – der bliver foldet ud i denne artikel.
Læs, hvordan Region Midtjylland har organiseret deres operationelle risikostyring
Vi glemmer modstanderorienteringen
Lad os forudsætte, at der i organisationen arbejdes på at binde den strategiske, taktiske og operationelle risikostyring bedre sammen. Og lad os gå ud fra, at organisationen også arbejder på at skabe et tættere samarbejde mellem det centrale og decentrale risikoejerskab om at balancere digitaliseringsdagsordenen med ønsket risikoappetit. Så langt så godt.
Vi er dog ikke i mål endnu. For arbejdet med begge sikkerhedsdiscipliner har den indbyggede bias, at de per definition kaster et indadvendt blik på forretningen. Jeres snakke, analyser og konkrete arbejde tager udgangspunkt i, hvad I er gode til, hvad I er knap så gode til, hvilke processer I skal indføre, hvilke produkter der skal indkøbes og så videre. Modstanderne – altså dem, I rent faktisk prøver at beskytte jer imod – træder paradoksalt nok i baggrunden, mens I har travlt med at formulere jeres politikker, bygge jeres forsvarsværn og implementere jeres processer.
Den tredje tangent i koordinatsystemet er derfor at forstå det trusselsbillede, der er relevant for netop jer. Hvem vil med størst sandsynlighed foretage et målrettet angreb mod jer? Er det fremmede stater, ekstremistiske grupper eller organiserede kriminelle? Hvad er angribernes motiver? Handler det om ideologi, politik, økonomi eller prestige? Hvordan foregår deres angreb? Hvilke værktøjer benytter de? Og så videre.
At afsætte tid og ressourcer til at forstå jeres modstander er det eksternt fokuserede efterretningsarbejde, der giver jeres interne sikkerhedsarbejde retning.
Hybride angreb er virkeligheden
Kortlægningen af det globale trusselsbillede er blevet en markant anden opgave, end den var for bare få år siden. Virksomheder skal ruste sig til at håndtere en ny type angreb. Angrebene er mangfoldige, ofte synkroniserede og retter sig mod virksomheden som helhed fremfor it-systemer i isoleret forstand. De komplekse angreb kræver, at virksomhedernes beredskab i højere grad end i dag tager afsæt i en helhedsorienteret tilgang, der integrerer koordination og styring i virksomheden på både horisontalt og vertikalt niveau.
Den hybride trusselsudvikling er en realitet allerede i dag. Og jeg forventer kun, at trusselsbilledet vil stige i kompleksitet de kommende år og byde på endnu flere varianter af koordinerede sikkerhedshændelser, fordi det fra et angrebssynspunkt kan betale sig. Chancen for succes er ganske enkelt højere, når man anvender hele bredden af sin værktøjskasse og derved ex kombinerer brugen af arenaer på tværs af it, faciliteter, personer m.m.
Risikostyring skal ud af siloerne
Det nedslående ved denne forudsigelse er, at virksomheder ud fra en gennemsnitlig modenhedsbetragtning er relativt dårligt klædt på til at modstå hybridangreb. For det første fordi der er virksomheder, som slet ikke er begyndt at forholde sig til, at den type angreb kan ramme dem, hvilket giver noget nær optimale arbejdsbetingelser for angriberne. For det andet fordi mange virksomheders risikostyringsmodel ikke tager højde for koordinerede angreb.
Hverken præventivt eller reaktivt taler de områdeansvarlige i en virksomhed i tilstrækkelig høj grad sammen om at dæmme op for koordinerede angreb. I et tænkt eksempel kunne det give god mening, hvis henholdsvis facility management, it og produktion havde en fælles forståelse, en fælles plan, et fælles budget og et fælles sprog for at beskytte virksomheden mod målrettede angreb. I stedet ser vi typisk det, at risikostyring er noget, der foregår i siloer, hvor de områdeansvarlige har travlt med at fokusere på deres egen del af forretningen.
Få mere sikkerhed for pengene
Den hybride og hyperkomplekse trusselsudvikling sætter meget på spil i virksomhederne. Derfor er det også vigtigt at lægge fra land med realistiske målsætninger for arbejdet, når man f.eks. vil koble den fysiske sikkerhed tættere sammen med den virtuelle.
I begyndelsen bør fokus være på, at få områder, der ikke tidligere arbejdede tæt sammen, til at koordinere deres sikkerhedsindsatser. Det giver mere sikkerhed for pengene, ligesom der også vil være støtteværktøjer, mandskab og løsninger, som kan deles på tværs af områder, så man får en mere optimal ressourceudnyttelse.
Over tid vil det blive mere og mere almindeligt at lade den hybride trusselsudvikling indgå som komponent i en samlet, integreret risikostyringsmodel, der også omfatter digitaliseringsagendaen samt koblingen mellem det strategiske, taktiske og operationelle niveau. Der er vi ikke endnu, det ved vi godt, og det kan for nogle virksomheder virke som en uoverskuelig opgave. Men alene den organisatoriske modning i at begynde at tænke mere koordinerende omkring sikkerhedsarbejdet, vil give mange et godt rygstød til at justere deres risikostyringsmodel. Det er der brug for.
Det kan du læse om i artikelserien om Integreret risikostyring
Med en balanceret og integreret tilgang til risikostyring kan man koble de forskellige dele af forretningen sammen i én model. Her kan du læse artikelserie skrevet af Gorm Grosen Christiansen, Leder af Cyber- og informationssikkerhed enheden i Globeteam
- Artikel 1: Koblingen mellem det strategiske, taktiske og operationelle niveau i én styringsmodel
- Artikel 2: Det decentrale digitaliseringstempo kalder på en ny risikostyringsmodel
- Artikel 3: Det hybride trusselsbillede skal indgå i risikostyringsmodellen
- E-bog: “Sådan beskytter Region Midtjylland 36.000 brugere mod cyberkriminalitet”.
Her fortæller CISO i Region Midtjylland, Kenneth Becker, hvordan de har defineret deres SOC som en virtuelt forankret styringskapabilitet, der på tværs af fire områder i it-afdelingen kan identificere, analysere og respondere på sikkerhedshændelser. Om hvilken konkret forretningsmæssig værdi det giver og slutter af med fem gode råd til etablering og drift af et sikkerhedsprogram.
Stay safe, start smart
Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”.
Her kan du gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave.
Læs mere her om vores nye temarække
