Synspunkt: Driver du fortsatt med manuell sikkerhetsstyring?

Helle Kristiane Rønne er seniorrådgiver innen virksomhets- og sikkerhetsstyring i Sopra Steria. Vilde Nylund Johnsen er sikkerhetsrådgiver i Sopra Steria.

SYNSPUNKT. Det er ingen hemmelighet at trusselbildet blir mer og mer komplisert. Så, hvordan møter dagens virksomheter denne utfordringen? Overraskende mange stoler fortsatt på manuell sikkerhetsstyring, ofte gjennom statiske regneark som blir store, tunge og vanskelige å manøvrere i. Dette er ikke bare ineffektivt; det er farlig og utsetter virksomheter, og deg som leder, for stor risiko.

Dagens trusselaktører har superprofesjonelle IT-avdelinger, dedikert til å finne nye sårbarheter og skreddersy angrep. For disse, er manuelle prosesser for sikkerhetsstyring en gavepakke. Manuelle analyser og tiltak i regneark gir ikke tilstrekkelig beskyttelse mot dagens trusler og sårbarheter.

Mangler kilder og verktøy

I en masteroppgave ved NTNU, om sikkerhetsstyring i norske virksomheter, ble ledere og representanter fra fire tilsynsmyndigheter intervjuet om hvilke verktøy de bruker for sikkerhetsstyring. Funnene viser at flere av respondentene mangler nødvendige kilder og verktøy for å kunne gi et tilstrekkelig datagrunnlag for å evaluere sikkerhetstilstanden. Som et resultat av det, utføres sikkerhetsstyringen manuelt.

Tid og mangel på personell trekkes også frem som de største hindringene for å gjennomføre sikkerhetsrisikovurderinger, ifølge fjorårets "State of Cybersecurity"-undersøkelse fra den internasjonale IT-fagforeningen ISACA.

Dette er bekymringsverdig.

Manuell styring er tidkrevende, skalerer dårlig, og kan føre til at man mister oversikten over virksomhetens sikkerhetsstatus. Det gjør det også utfordrende å kommunisere risiko og sikkerhetstilstand til ledelsen på en effektiv måte.

Avgjørende med digitalisering

Digital sikkerhetsstyring gjør det mulig for virksomheter å både skalere og jobbe proaktivt med sikkerheten. Nye trusler kan raskt fanges opp og håndteres på det nivået de hører hjemme. Det gir rask respons, gjør det mulig å automatisere prosesser, og et sanntidsoppdatert situasjonsbilde kan sendes rett til lederens PC. Ved å ta i bruk kunstig intelligens kan man til og med avdekke fremtidige trusler, sårbarheter og mulige avvik, og effektivt sette inn risikoreduserende tiltak.

Digital sikkerhetsstyring gjør derfor virksomheten langt mer robust og gir ledere muligheten til faktisk å styre sikkerheten i virksomheten. Og ja, dette er fullt oppnåelig.

Her er fem råd til ledere som vil digitalisere sikkerhetsstyringen:

1. Kartlegg virksomhetens verdier og verdikjeder, og vurder hvor kritiske og utsatte de er.
2. Etabler en klar sammenheng mellom sikkerhetskrav og sikkerhetskontroller, og knytt dem direkte til virksomhetens verdier.
3. Sørg for at sikkerhet ikke blir en isolert aktivitet, men er integrert med hele virksomheten.
4. Visualiser sikkerhetstilstanden for ledelsen. Tilpass informasjonen slik at den kan brukes effektivt av ledelsen for å ta beslutninger.
5. Se fremover: Bruk digital teknologi til å se hvordan sikkerhetstilstanden henger sammen med endringer i omgivelsene. På den måten kan man også se for seg og teste effekten av ulike framtidsscenarier. Neste steg kan være å bruke kunstig intelligens for å forutse risikoer og overvåke sikkerhetskrav, slik at virksomheten kan reagere enda raskere på nye sikkerhetsutfordringer.

Lederens ansvar å henge med digitalt

Med omfattende regelverk som NIS2 og EUs Digital Operations Act (DORA) er det avgjørende at ledelsen tar grep om sikkerhetsstyringen. Uten digitalisering vil gapet mellom virksomheten og trusselaktørene bare vokse. Konsekvensene av et sikkerhetsbrudd kan bli katastrofale – ikke bare for virksomheten, men også for lederens ansvar og omdømme.

Så, ta kontroll før noen andre gjør det.