Flere penge giver ikke bedre it-sikkerhed
Temaet it-sikkerhed bliver ofte debatteret på ledelsesgangene. Det gjorde det ikke for 10 år siden, men i dag er ledelsen, omend modvilligt, nødt til at forholde sig til en at tidens største trusler. Om bevæggrundene er databeskyttelse eller mere frygten for ransomware, er som sådan irrelevant, for på dette niveau er det de samme grundlæggende forandringer, der skal til for at få drejet sikkerheds-tankskibet i den rigtige retning.
Desværre sker det ofte, at talen falder på penge: Hvad koster det? Og især: Hvad koster det, hvis vi bare gerne vil have problemet løst her og nu – én gang for alle?
Det er min meget klare erfaring, at vi med med den tilgang er på gyngende grund: De, der bruger flest penge på sikkerhed, er langt fra altid dem, der har tilsvarende bedst styr på området. Mens de, der har ledelsesopbakning, en god dialog med ledelsen og en forståelse i organisationen for, at der ikke findes ‘quick fixes', omvendt har de rigtige forudsætninger for at skabe varige forbedringer.
Når bestyrelsen vil have forbedringer »Nu!«
Ja, sikkerhed koster penge. Det er ikke til at komme uden om. Men man kan ikke sætte lighedstegn mellem flere penge og bedre sikkerhed. Det er grundlæggende ikke pengene, der gør forskellen, men derimod en velovervejet og holistisk tilgangsvinkel.
Når det brænder i maskinrummet, og bestyrelsen vil have forbedret sikkerheden »nu«, så er det selvfølgelig let bare at bede om flere penge. Men det man i stedet burde bede om, er opbakning, involvering og engagement fra ledelsen og organisationen. Det er her, forskellen vil kunne måles på den lange bane.
Vi skal ikke købe enkeltstående monolitter, som så kan præsenteres for bestyrelsen som løsningen på alle problemerne. Sikkerhed skal bygges fra bunden – udvikles og vokse i, med og ud af det it-landskab, der skal beskyttes, som en levende organisme under konstant forandring.
Ny teknologi er en fælde
Selvom penge naturligvis indgår som en del af løsningen, så er kompleksiteten i sikkerhed noget højere, og kræver mere af organisation end blot at indkøbe ny, skinnende teknologi. Og det ved de fleste sikkerhedsfolk godt: Det er ikke nok at installere et stykke software. Softwaren skal også kobles sammen med andre teknologier, der skal oprettes politikker og processer, brugere skal opdrages, og den skal hele tiden tilpasses, så den understøtter forretningens mål og de risici, den skal beskytte imod.
Jeg forundres, når mange sikkerhedsansvarlige igen og igen går i den samme fælde og fokuserer på at få flere penge til indkøb, når de egentligt godt ved, at de skal sikre fundamentet, før de bygger nyt. De ved godt, at selvom penge kan virke som en nem løsning — og ikke mindst en håndgribelig én — er det en stakket frist, de køber sig. For med pengene følger en forventning om hurtige og varige forbedringer, som ikke automatisk følger med i indkøbet. Dem skal der nemlig arbejdes for.
Kender du dig selv?
Der var engang, hvor en firewall-regel kunne definere, om man havde et fornuftigt sikkerhedsniveau. Det var dejligt håndgribeligt, at man bare sådan kunne bygge store mure, for at beskytte sig. Og måske er det den forståelse, ikke-it-kyndige ledelser hænger fast i: Køb nogle mursten, og byg en mur. Og det er den forståelse, it-ansvarlige taler til.
Men sådan er verden jo ikke mere.
»If you know the enemy and know yourself, you need not fear the result of a hundred battles,« sagde Sun Tzu. Og deri ligger problemet. For det, at »kende sig selv og sin fjende«, er grundlæggende svært i en digital og virtuel verden. Specielt hvis sikkerhedsarbejdet ikke er forankret i toppen af organisationen, i en forståelse af, hvad der er vigtigt for forretningen, og hvordan man omsætter sin risikoprofil til digital handling.
Så kan man, som sikkerhedsansvarlig, »kende sig selv«, hvis man kun kender it? Nej. Det er altafgørende, at man har forståelse for forretningen, og er i dialog med den, og kan forklare ledelsen og bestyrelsen, hvordan it spiller ind i den forretning. Ellers kan man ikke tage kalkulerede risici. Eller anerkende, at it-sikkerhed ikke kun er et spørgsmål om: »er vi beskyttede eller ikke?«.
For moderne it-sikkerhed hviler på forståelsen af, at der altid er en risiko. Det interessante spørgsmål er, hvordan risiko og værdi balancerer. Det ved du kun, hvis du kender din organisation, dine brugere, dit udstyr, dine løsninger og dine risici. Og forstår, at du ikke kan beskytte det hele uden, at det har en forretningsmæssig konsekvens.
Hvilken risiko vælger du?
Ved at øge fokus på at være gode til at opdage og reagere på trusler, der er ved at materialisere sig i organisationen, kan vi flytte it-sikkerhedsarbejdet fra »nej-siger-rollen«, der udelukkende er fokuseret på at holde alt ondt fra døren, til »ja- eller muligvis-sigeren«, der har en mere konstruktiv tilgang, og arbejder med et accepteret risikoniveau. Det er nemmere sagt end gjort, men husk, at der er to sider af risici: risikoen for at tabe, og risikoen for ikke at vinde.
Jeg ser det vellykkede it-sikkerhedsarbejde som værende en cirkulær økonomi:
Når først bolden ruller, og der er fokus på kontinuerlige forbedringer funderet i forretningens behov og opmærksomhed på det rette niveau i organisationen, så skal pengene nok følge med. Måske ikke altid lige med det samme, men pengene bliver faktisk et sekundært problem. Forandringer er og bliver det svære.
Men forandringer i risiko- og forretningsforståelse er nu engang det, der for alvor flytter sikkerheden. Ikke pengene…
Vil du bidrage til debatten med et synspunkt? Så skriv til vores debatredaktion på debat@ing.dk
