Virksomheder skal tænke sikkerhed bredt – og ikke kun digitalt

Virksomheder beskytter sig bedre ved at se mere bredt på den hybride trusselsudvikling

I en kompleks, uforudsigelig verden handler truslerne mod virksomheders drift og eksistens om meget mere end cyberkriminalitet. Derfor skal virksomheder gå mere helhedsorienteret til værks i sikkerhedsarbejdet, lyder rådet fra sikkerhedseksperterne hos Globeteam.

Interview med Boye Vanell og René Jacobsen, senior sikkerhedsrådgiver i Globeteam.

I en turbulent tid med pandemi, fragtproblemer, kraftigt stigende energipriser, krig og usikkerhed bør det nu være tydeligt for alle seriøse virksomheder, at deres arbejde med sikkerhed skal handle om meget mere end investering i løsninger mod cyberkriminalitet.

Sådan lyder budskabet fra konsulenthuset Globeteam, som hjælper sine kunder med at se både bredere og mere operationelt på deres sikkerhedsindsats.

“Cybertruslen er reel, og der er forståeligt nok blevet kanaliseret store midler til arbejdet med cybersikkerhed i de senere år. Men mange virksomheder står samtidig med andre store problemstillinger, der ligeledes kan true deres drift og eksistens. Cybersikkerhed er kun ét element i det samlede sikkerhedsperspektiv. Virksomhederne beskytter sig bedre ved at se mere bredt på den hybride trusselsudvikling,” siger Boye Vanell, senior sikkerhedsrådgiver i Globeteam.

Trusler uden begrænsninger

Hans kollega, Senior Business Advisor René Jacobsen, uddyber, hvorfor cybersikkerhed i dét lys ikke længere kun bør ses som en strengt logisk digital disciplin forbeholdt emergency response teamet i IT-afdelingen.

“Et hybridt trusselsbillede har i princippet ingen begrænsninger. Man skal bort fra den tankegang, at ens sikkerhed kun er drevet af teknologiske sikkerhedsløsninger. Den sårbarhed i organisationen, som i sidste ende fører til et sikkerhedsbrud, kan opstå langt tidligere og i andre dele af organisationen, end virksomheden tror. Virksomheder skal tænke fysisk, kulturel og digital sikkerhed i sammenhæng.”

Lige som efterretningstjenester

Således skal virksomheder nu adoptere en tilgang til sikkerhed, som kendetegner arbejdet i efterretningstjenester, hvor integritet af data og brugerhandlinger er prioriteret højest på grund af behovet for at bevise, hvem har udført en given handling.

Derfor er det heller ingen tilfældighed, at Boye Vanell har mange års erfaring med sikkerhedsarbejde for efterretningstjenester globalt, mens René Jacobsen tidligere har været global sikkerhedschef i Novozymes.

Globeteam tæller også rådgivere med erfaring fra gidselforhandlinger, idet principperne bag forhandlinger om frigivelse af et gidsel – om det er et menneske eller låst data, og uden sammenligning i øvrigt – i vid udstrækning er de samme.

Styr på leverandørerne

I dette totale perspektiv er virksomheders sikkerhed også påvirket af faktorer som geopolitiske konflikter fjernt fra Danmark, mangelfuld intern kommunikation, uvaner blandt medarbejdere og noget så banalt som opbevaring af komponenter, der pludselig er blevet ekstremt værdifulde på grund af voldsomt stigende råvarepriser.

Ifølge Boye Vanell udgør manglende leverandørstyring en voksende del af det hybride trusselsbillede, virksomheder skal forholde sig til. Virksomheder skal spørge sig selv, om de har den rette leverandørstyring, i forhold til hvor eksponerede de er på det område af forretningen. Sagt med andre ord: Har de godt nok styr på de leverandører, de lukker ind?”

Det handler også om risiko-appetit

For at kunne etablere et hybridt forsvarsværk, der tager højde for andre trusler end blot de digitale, skal virksomheder lære at tænke mere holistisk, risikobetonet og løsningsorienteret, lyder rådet fra Globeteam.

Og den risikobetonede tilgang har ikke kun fokus på at eliminere risici.

“Det handler også om risiko-appetit. Hvilken risiko er man villig til at tage, fordi den negative konsekvens ikke er særlig sandsynlig eller ikke er særlig stor. Der skal mere transparens ind i virksomhedens arbejde med de forskellige risici, den er udsat for. Og derfra kan man så bygge sin sikkerhed bredt op. Inklusive cybersikkerheden,” siger Boye Vanell.

Beredskabsplaner skal leve

Og der er plads til forbedring i de danske virksomheder, vurderer Globeteam.

Mange virksomheder har ikke nedsat et crisis management team, og beredskabsplanen lader mange steder meget tilbage at ønske. Hvis den overhovedet findes.

Ideelt set omfatter beredskabsplanen hele det hybride trusselsbillede, men dels har beredskabsplaner ofte slagside mod det digitale, dels ligger de ubrugte og forældede hen.

“Vi ser beredskabsplaner, der ikke har været oppe af skuffen siden 2015. Det er digre værker på 100 sider eller mere, ingen kan overskue at læse, og navne og telefonnumre i planen er forældede. Der er brug for noget mere simpelt, der kan forstås og operationaliseres af nye personer, der kommer ind i organisationen, og man skal løbende træne brugen af beredskabsplanen, så man til enhver tid er klar til at håndtere krisesituationer på tværs af organisationen,” siger René Jacobsen.

Har piloten tid til at læse hele manualen?

En beredskabsplan skal på et øjeblik kunne give dig metodikken til at arbejde med et problem.

“Normale tjeklistehandlinger er lige som alle SOP’er beregnet til at kontrollere eller verificere handlinger, der blev udført fra hukommelsen. Et defineret og trænet flowmønster bør anvendes i forhold til beredskab. Så er der større sandsynlighed for, at vi husker det vigtigste. En luftkaptajn har jo heller ikke tid til at læse en hel manual, men skal have en præcis tjekliste at arbejde med,” siger René Jacobsen.