En CISO står inför många utmaningar när de arbetar med cybersäkerhet. Det finns inte bara lagar du måste följa, utan också bästa praxis som kan hjälpa dig att undvika fallgropar och säkerhetsrisker längs vägen. Och även om du har en tydlig plan för hur du ska arbeta med cybersäkerhet kan det vara svårt att förklara för ledningsgruppen att de behöver lägga resurser på cybersäkerhet för att skydda ert företag. Vi har sorterat ut några av de största utmaningarna för CISO:s och hjälper dig att möta dem!
Övertyga ledningen att prioritera cybersäkerhet
Digitaliseringen gör att cybersäkerhet är ett område som blir allt viktigare, men det får inte alltid den prioritet det förtjänar. Det är inte alltid lätt för CISO:n att förklara för ledningsgruppen varför arbetet med cybersäkerhet är så viktigt. Det finns dock några saker som du kan tänka på under en presentation för ledningsgruppen.
För att ni ska kunna göra rätt prioriteringar i säkerhetsarbetet behövs en riskanalys – en säkerhetsskyddsanalys. Genom att ställa dig ett antal frågor kan du få fram ett underlag till en säkerhetsskyddsanalys som gör att du kan vara väldigt konkret när du presenterar för ledningen eller IT-chefen.
Givetvis måste du berätta om vad konsekvenserna kan bli om ni som bolag försummar cybersäkerheten. Om du till exempel har upptäckt att ni har brister i mjukvaruuppdateringarna så är det mer kommunikativt och övertygande att säga att ”en hacker kan kopiera hela lönelistan och lägga ut den på Internet” än att prata om att ett flertal säkerhetsuppdateringar behöver göras. Anpassa alltså konsekvensscenarion utefter er verksamhet och vad ni behöver skydda.
Ett motargument du kan få är: ”Men kostar det inte en hel del att införa ett strukturerat arbetssätt med informationssäkerhet?”. Detta är något du snabbt kan svara på genom att förklara att alternativkostnaden vid en attack oftast är mycket högre än investeringen som behövs för högre säkerhet. Att inte investera i sin cybersäkerhet innebär därför egentligen att man som företag, och ledning, tar en oerhört stor finansiell risk. Fråga ledningen om de verkligen vill ta den risken?
Det är bra om ledningen förknippar cybersäkerhet med något positivt och okomplicerat. Därför är det viktigt att du avslutar argumentationen med att förklara att ett systematiskt cybersäkerhetsarbete gör att ni kan undvika negativ publicitet, informationsläckage, driftstopp – ni kan helt enkelt undvika flera risker som skulle kunna leda till att ni förlorar affärer.
Lagar och direktiv
Det finns viktiga lagar och förordningar du bör känna till, till exempel NIS-direktivet. NIS-direktivet (The Directive on security of network and information systems) är ett direktiv. Det innebär att det anpassas till nationell lagstiftning i varje medlemsstat vilket gör att det finns skillnader i tillämpningen i respektive land.
NIS-direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka. Lär dig mer om NIS-direktivet!
En annan lag som kan vara viktig för din organisation är säkerhetsskyddslagen. Den nya säkerhetsskyddslagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter. Säkerhetsskyddslagen (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks. Läs mer om säkerhetsskyddslagen!
Risker som CISO:n behöver vara medveten om
En CISO behöver ha koll på mycket för att kunna undvika att sårbarheterna utnyttjas för en cyberattack – något som kan ge oerhört stora konsekvenser både för företaget och för samhället.
Fjärrstyrning av system
Många organisationer är beroende av fjärråtkomst via RDP, till exempel för att leverantörer ska kunna utföra underhåll, eller för att driftpersonal ska kunna övervaka en anläggning. Säker fjärråtkomst löser många av de säkerhetsrisker som annars är förknippade med sådana lösningar.
IT/OT-integration
Digitaliseringen innebär att IT- och OT-system behöver kopplas samman, och ofta använder man samma typ av teknik inom IT och OT. De skilda behoven inom IT och OT leder lätt till tekniska konflikter som kan vara utmanande att hantera. Med säkra lösningar kan du bibehålla tillgängligheten och samtidigt öka säkerheten.
Spårning och loggning
De flesta IT-system skapar loggar som möjliggör felsökning och spårbarhet. Loggningen vinner på att ha ett gemensamt system för samtliga zoner/delsystem, samtidigt som ett gemensamt system ökar risken för attacker av olika slag. För att minska riskerna krävs en lösning som skyddar både logginformation och alla uppkopplade system.
Överföring av SCADA-information
Under många år har bolagen som använder SCADA-system gradvis automatiserats. Men att överföra samhällskritisk information, till exempel från ett SCADA-system till ett administrativt kontorsnät, innebär potentiella säkerhetsrisker. Här behövs säkra lösningar som tar hand om säkerhetsproblematiken och samtidigt möjliggör ett informationsutbyte.
Uppdateringar
Att göra uppdateringar är något som i sig kan innebära en säkerhetsrisk om det inte görs på rätt sätt. Integritet och tillgänglighet till systemen måste upprätthållas och de flesta systemuppdateringar är normalt sett inte tillräckligt utvärderade i den miljö de används eller i kombination med de applikationer som körs. För att undvika riskerna samt för att upprätthålla integriteten och tillgängligheten i systemen och kunna göra säkra uppdateringar, krävs speciella lösningar.
Säkerhetskultur
Cybersäkerhet är idag inte bara en teknisk utmaning utan även en mänsklig utmaning – det är en fråga om säkerhetskultur. Kriminella utnyttjar inte alltid enbart tekniska brister utan förlitar sig ofta på människor för att komma åt känsliga uppgifter. Därför är den mänskliga faktorn den främsta orsaken till de mest allvarliga säkerhetsintrången. För att bli bättre på säkerhetskultur behöver attityder och beteenden ändras. Organisationen behöver se cybersäkerhet och säkerhetskultur som en verksamhetskritisk aktivitet och inte som en isolerad IT-fråga.
Det finns många saker som en CISO behöver hålla koll på. För att göra livet lite enklare har vi skapat en guide för CISOs. Läs den här!
Behöver ni hjälp med er cybersäkerhet? Tveka inte att kontakta oss!
