Fra reaktiv til proaktiv sikkerhetsstyring

Artikkel skrevet av Anne Heie

Krigen i Ukraina har hatt enorme følger for verdenssamfunnet i form av politisk ustabilitet og økonomisk uro. Dette etterfølges igjen av en sikkerhetssituasjon som stadig påvirkes av et økt trusselnivå.

Anne Heie
  1. november hevet Forsvaret beredskapsnivået for å møte den økte trusselsituasjonen.
    Med dette bakteppet er det på tide at flere norske virksomheter setter sikkerhet og beredskap høyere
    opp på agendaen.
    Nasjonal sikkerhetsmyndighet (NSM) skriver på sine hjemmesider at cyberangrep er blitt hverdagskost.
    Samtidig rapporteres det om en økning i forsøk på kompromitteringer mot norske virksomheter.
    Angrepsmetodene blir mer avanserte og aktørene mer profesjonelle.
    Dette bør være nok til å skremme de fleste, men fortsatt sliter virksomheter med å ta inn over seg at
    sikkerhetsarbeid ikke er kjedelig vedlikehold, som i beste fall gjøres ved ledig tid. Eller enda verre blir et
    offer for OPEX-kutt i nedgangstider. En slik holdning vil på sikt kunne ende opp i en massiv økning i
    CAPEX, altså bruk av investeringsmidler for å dekke over langsiktig neglisjering av løpende
    kostander. Dette fordi bedriften ender opp som sitt eget gissel hvor utgangsprisen for å komme back
    on track er ekstremt kostbar.
    Frem til nå har sikkerhetsarbeidet i stor grad vært preget av en reaktiv tilnærming hvor tiltak og
    mitigering vurderes i etterkant av hendelser. I tillegg har hovedvekten av sikringsarbeidet vært fokusert
    rundt sikring av logiske verdier.
    En slik tilnærming er ikke bare kostbar og snever, men potensielt kan det gi langsiktige skader på
    omdømmet og svekket kundeforhold.
    For å være bedre rustet for fremtiden må vi tørre å flytte oss fra en proaktiv til en reaktiv risikobasert
    styringsform. Sikkerhet må jobbes med kontinuerlig og under strukturerte rammer.
    Kort fortalt;
  2. Vi må forstå at sikkerhet er et stort område som omhandler både det logiske så vel som det
    fysiske, det menneskelige og det organisatoriske.
  3. Vi må ha kjennskap og oversikt over hva som skjer rundt oss og hvordan det påvirker vårt
    risikobilde til enhver tid.
  4. Vi må handle i forkant basert på hva som KAN inntreffe og den potensielle konsekvensen.
  5. Vi må ha en beredskap som samsvarer og er tilpasset situasjonen selskapet befinner seg i.
    Et slikt skifte kan være både smertefullt og kostbart, men for mange tør jeg påstå det ikke lenger er et
    valg.


    Det koster for mye å være etterpåklok.