Om Globeteam

Integreret risikostyring III: Det hybride trusselsbillede skal indgå i risikostyringsmodellen

Forstå det trusselbillede, der er relevant for netop jer

Integreret risikostyring skaber sammenhæng på alle niveauer i beskyttelsen af mennesker, processer og forretningsaktiver. 

Af: Gorm Grosen Christiansen, leder af Globeteams forretningsenhed for cyber- og informationssikkerhed

Virksomheders sikkerhedsudfordringer kan formuleres ved hjælp af tre tangenter, der skærer hinanden på forskellige punkter i et koordinatsystem:

    1. Forholdet mellem dem, der har risikoejerskabet (strategisk niveau), dem, der skal omsætte risikoejerskabets vilje til handling (taktisk niveau), og dem, der skal udleve og eksekvere på baggrund af handleplaner, politikker og retningslinjer (operationelt niveau)
  1. Forholdet mellem central og decentral digitalisering. Decentrale forretningsenheder driver oftere og oftere selv digitaliseringsdagsordenen, fordi udbredelsen af navnlig cloud-services har gjort det nemt og hurtigt at anskaffe og implementere it
  2. Den hyperkomplekse trusselsudvikling. Sikkerhedstruslen er i kraftig vækst, og modstanderne omfatter fremmede statsmagter, ekstremistiske grupperinger, hackere og alt derimellem. Netop fordi trusselsbilledet er så nuanceret, ender mange virksomheder med at håndtere hver trussel i siloer i stedet for at samtænke de analyser og handlinger, der skal minimere sandsynligheden for at blive ramt af angreb

Det er tilgangen til den tredje tangent i koordinatsystemet – et tværgående forsvar mod fysiske og virtuelle sikkerhedstrusler – der bliver foldet ud i denne artikel.

Læs, hvordan Region Midtjylland har organiseret deres operationelle risikostyring

Vi glemmer modstanderorienteringen

Lad os forudsætte, at der i organisationen arbejdes på at binde den strategiske, taktiske og operationelle risikostyring bedre sammen. Og lad os gå ud fra, at organisationen også arbejder på at skabe et tættere samarbejde mellem det centrale og decentrale risikoejerskab om at balancere digitaliseringsdagsordenen med ønsket risikoappetit. Så langt så godt.

Vi er dog ikke i mål endnu. For arbejdet med begge sikkerhedsdiscipliner har den indbyggede bias, at de per definition kaster et indadvendt blik på forretningen. Jeres snakke, analyser og konkrete arbejde tager udgangspunkt i, hvad I er gode til, hvad I er knap så gode til, hvilke processer I skal indføre, hvilke produkter der skal indkøbes og så videre. Modstanderne – altså dem, I rent faktisk prøver at beskytte jer imod – træder paradoksalt nok i baggrunden, mens I har travlt med at formulere jeres politikker, bygge jeres forsvarsværn og implementere jeres processer.

Den tredje tangent i koordinatsystemet er derfor at forstå det trusselsbillede, der er relevant for netop jer. Hvem vil med størst sandsynlighed foretage et målrettet angreb mod jer? Er det fremmede stater, ekstremistiske grupper eller organiserede kriminelle? Hvad er angribernes motiver? Handler det om ideologi, politik, økonomi eller prestige? Hvordan foregår deres angreb? Hvilke værktøjer benytter de? Og så videre.

At afsætte tid og ressourcer til at forstå jeres modstander er det eksternt fokuserede efterretningsarbejde, der giver jeres interne sikkerhedsarbejde retning.

Hybride angreb er virkeligheden

Kortlægningen af det globale trusselsbillede er blevet en markant anden opgave, end den var for bare få år siden. Virksomheder skal ruste sig til at håndtere en ny type angreb. Angrebene er mangfoldige, ofte synkroniserede og retter sig mod virksomheden som helhed fremfor it-systemer i isoleret forstand. De komplekse angreb kræver, at virksomhedernes beredskab i højere grad end i dag tager afsæt i en helhedsorienteret tilgang, der integrerer koordination og styring i virksomheden på både horisontalt og vertikalt niveau.

Den hybride trusselsudvikling er en realitet allerede i dag. Og jeg forventer kun, at trusselsbilledet vil stige i kompleksitet de kommende år og byde på endnu flere varianter af koordinerede sikkerhedshændelser, fordi det fra et angrebssynspunkt kan betale sig. Chancen for succes er ganske enkelt højere, når man anvender hele bredden af sin værktøjskasse og derved ex kombinerer brugen af arenaer på tværs af it, faciliteter, personer m.m.

Risikostyring skal ud af siloerne

Det nedslående ved denne forudsigelse er, at virksomheder ud fra en gennemsnitlig modenhedsbetragtning er relativt dårligt klædt på til at modstå hybridangreb. For det første fordi der er virksomheder, som slet ikke er begyndt at forholde sig til, at den type angreb kan ramme dem, hvilket giver noget nær optimale arbejdsbetingelser for angriberne. For det andet fordi mange virksomheders risikostyringsmodel ikke tager højde for koordinerede angreb.

Hverken præventivt eller reaktivt taler de områdeansvarlige i en virksomhed i tilstrækkelig høj grad sammen om at dæmme op for koordinerede angreb. I et tænkt eksempel kunne det give god mening, hvis henholdsvis facility management, it og produktion havde en fælles forståelse, en fælles plan, et fælles budget og et fælles sprog for at beskytte virksomheden mod målrettede angreb. I stedet ser vi typisk det, at risikostyring er noget, der foregår i siloer, hvor de områdeansvarlige har travlt med at fokusere på deres egen del af forretningen.

Få mere sikkerhed for pengene

Den hybride og hyperkomplekse trusselsudvikling sætter meget på spil i virksomhederne. Derfor er det også vigtigt at lægge fra land med realistiske målsætninger for arbejdet, når man f.eks. vil koble den fysiske sikkerhed tættere sammen med den virtuelle.

I begyndelsen bør fokus være på, at få områder, der ikke tidligere arbejdede tæt sammen, til at koordinere deres sikkerhedsindsatser. Det giver mere sikkerhed for pengene, ligesom der også vil være støtteværktøjer, mandskab og løsninger, som kan deles på tværs af områder, så man får en mere optimal ressourceudnyttelse.

Over tid vil det blive mere og mere almindeligt at lade den hybride trusselsudvikling indgå som komponent i en samlet, integreret risikostyringsmodel, der også omfatter digitaliseringsagendaen samt koblingen mellem det strategiske, taktiske og operationelle niveau. Der er vi ikke endnu, det ved vi godt, og det kan for nogle virksomheder virke som en uoverskuelig opgave. Men alene den organisatoriske modning i at begynde at tænke mere koordinerende omkring sikkerhedsarbejdet, vil give mange et godt rygstød til at justere deres risikostyringsmodel. Det er der brug for.

 

Det kan du læse om i artikelserien om Integreret risikostyring

Med en balanceret og integreret tilgang til risikostyring kan man koble de forskellige dele af forretningen sammen i én model. Her kan du læse artikelserie skrevet af Gorm Grosen Christiansen, Leder af Cyber- og informationssikkerhed enheden i Globeteam

Gorm Grosen Christiansen, Globeteam

For mere information, kontakt:

Stay safe, start smart, temarække

Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”.

Her kan du gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave.

Læs mere her om vores nye temarække

 

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler

Tilmeld

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?