Nyhet · 2020-04-29

Cyberhot allt mer komplexa – då behövs ledningssystem

Cyberhot slår mot många områden i samhället. Det är dags att göra informationssäkerhet till en strategisk fråga och bestämma sig för vad som är en acceptabel risknivå, anser Linus Owman, expert på cybersäkerhet på PwC.

Många företag och organisationer inser att frågan om säkerhet blir allt mer komplex, enligt PwC:s rapport Achieving safety and security in an age of disruption and distrust. Det betyder dock inte att alla har en organisation som matchar utmaningarna.
– Jag ser ofta att man fortfarande organiserar sig på ett sätt som är anpassat efter hur det såg ut för något tiotal år sedan. Då var det vanligt att betrakta informationssäkerhet som enbart en it-fråga och att ha en it-avdelning placerad en bit ut i linjeorganisationen, säger Linus Owman.

Förutom it-frågor handlar informationssäkerhet om skyddet av organisationens tillgångar, exempelvis forskning och utveckling, patent och mycket annat. I dag krävs dessutom helt andra typer av diskussioner och strategier om informationssäkerhet generellt, enligt Linus Owman.  Frågan kan inte hanteras långt ute i organisationen, utan måste tas om hand på ledningsnivå där man kan göra avvägningar om vad som är skyddsvärda tillgångar och vilken risknivå som är acceptabel.
– Ledningen måste engagera sig mer och exempelvis efterfråga rätt information för att kunna se vilken typ av incidenter som ökar. Man får den information man frågar efter, säger Linus Owman.

Cyberattack kan drabba alla

Fortfarande belastas också området av många missuppfattningar och myter. En vanlig sådan myt är att den egna organisationen inte är så utsatt för risker. 

– Jag hör ofta diskussioner på temat: Varför skulle någon vilja attackera oss? Vi har inga fiender och är inte i en politiskt känslig bransch, konstaterar Linus Owman.

Det är dessvärre inget hållbart förhållningssätt.
– Många attacker handlar bara om att ”rycka i dörren” och se om den är öppen eller inte. Om den är öppen blir något som började som en slumpmässig attack plötsligt en skarp incident. På samma sätt kan dåligt skydd också leda till att hackare som sitter och slötestar säkerheten på olika organisationer blir nyfikna och vill veta hur långt in i miljön de kan ta sig.

Att det kan kosta stora pengar när ett företag drabbas av en cyberattack är ingen hemlighet. Förutom kostnaden för att hantera attacken och eventuellt produktionsbortfall finns också stor risk att förtroendet för företaget skadas. Inget tyder på att hoten minskar. Cyberkriminalitet har relativt låga instegskostnader och risken för upptäckt är försumbar, påminner PwC i sin rapport.

Reaktiv inställning räcker inte

Ny lagstiftning på området har visserligen tvingat fram en ökad mognad hos många organisationer - det handlar både om införandet av GDPR och NIS-direktivet som berör leverantörer av samhällsviktiga tjänster – men det räcker inte. 
– Fördelen är att man tvingar organisationer att ta tag i sin omställning. Men nackdelen är att organisationer kan förledas att tro att man är säker så länge man uppfyller lagstiftningens krav, säger Linus Owman.

Så är inte alltid fallet, konstaterar han.
– Man behöver lyfta sig ett steg till. Lagstiftningen är en miniminivå, säger han och tillägger att lagstiftningen dessutom har svårt att hålla jämna steg med den tekniska utvecklingen, vilket ytterligare understryker att efterlevnaden av lagstiftningens krav utgör en miniminivå av skydd.

– Att ha som säkerhetsambition att ligga i linje med lagstiftarens krav är både en reaktiv hållning och i förlängningen ett högst osäkert förhållningssätt.

Ledningssystem stöttar omställning

Ett första steg i ett omställningsarbete med strategisk höjd är att organisationen gör en omvärldsanalys som är kopplad till säkerhet i allmänhet och informationssäkerhet i synnerhet.
– Sverige har ett cyberförsvar för att skydda samhällsfunktioner. Men i den privata sektorn måste varje organisation bygga sitt eget försvar, eftersom vem som helst i värsta fall kan komma åt dina tillgångar varifrån som helst, säger Linus Owman.

Organisationen måste anpassas därefter också.
– Det är kanske inte bara HR, ekonomi och vd som ska finnas i en stabsfunktion utan även säkerhetschef och it-chef. Det är viktigt att bygga en organisation där ledningen har koll på de här frågorna, eftersom det inte går att outsourca frågan om vad som är skyddsvärda tillgångar.

En annan viktig del är att ha ett ledningssystem på plats.
– Det krävs ett strukturerat arbetssätt med återrapportering och ständiga förbättringar. Det räcker inte att säga att man har ambitionen att jobba så, utan man måste ställa om på riktigt.


Detta är en redigerad artikel ur tidningen Perspektiv #1 2020.
Läs mer om Perspektiv här >>

Läs också:

 


”Det krävs ett strukturerat arbetssätt med återrapportering och ständiga förbättringar”

Linus Owman
Senior Manager, PwC

Detta är ISO 27000

ISO 27000-serien ger ett strukturerat och effektivt arbetssätt för organisationer som strävar efter förbättrad intern kontroll över informationssäkerheten. Standarderna är framtagna och verifierade av ledande experter runt om i världen.

ISO 27000-serien är en kostnadseffektiv försäkring av din organisation och dess information.

PwC:s rapport

“Achieving safety and security in an age of disruption and distrust” belyser säkerhetsutmaningar i både offentliga och privata organisationer. 

Läs mer (PDF)

Läs mer om Perspektivtjänsten

Perspektiv är tjänsten för dig som arbetar med ledningssystem till vardags i ditt yrkesliv. Perspektiv består av en webbplats och en tidning som tillsammans innehåller samlad kunskap för att hjälpa dig tolka, jämföra och tillämpa olika ledningssystemstandarder.