Det kan komme en pandemi som snur opp ned på hverdagen. Salget kan rase. Eller skyte i været. Eller så kan medarbeiderne dine klikke på alle lenkene de ser. IT må takle situasjonen.
“Altså, vi har et problem med sikkerheten.” Mathias Törnblom, kundeteknologievangelist hos Dustin, blunker ikke engang. Dette var faktisk en workshop for å øke kundens IT-sikkerhet. At de hadde problemer er ikke så rart. Han ba dem fortelle.
“Vel, det er slik at medarbeiderne våre klikker som gale på lenker som kommer i e-posten. De klikker på alt! Hva kan vi installere for å beskytte oss mot det?”
varet på det spørsmålet var selvfølgelig at det finnes mange sikkerhetssystemer bedriften kan bruke. Men motspørsmålet var om de regelmessig ga sin medarbeidere opplæring i cybertrusler? Hvordan skal de gå frem?
– Det ble dødsstille på den andre siden, så kom et forsiktig «aldri» som svar, sier Mathias og fortsetter:
– Det er som om en kjørelærer skulle blåse i å lære elevene trafikkreglene og etterpå bli sint fordi de krasjet hele tiden. Teknologi er ikke nok. Skal du utvikle motstandsdyktig IT må du først utvikle en motstandsdyktig organisasjon.
Vær forberedt på endringer
Motstandsdyktig IT er en nødvendighet i dag. Men det handler ikke bare om cybertrusler via e-post eller falske håndverkere som sier at de “bare skal inn og fikse kopimaskinen” og slippes inn på kontoret. Det handler om at helsemyndighetene går fra å være anonyme til å måtte sende digitale pressekonferanser med flere millioner seere – på to uker. Det handler om at den enorme etterspørselen etter håndsåpe våren 2020 førte til at nettstedene til flere e-forhandlere krasjet, og at hotell- og restaurantbransjen plutselig måtte legge alle utviklingsprosjekter på is.
– Mange tenker på IT-trusler, men å ha et motstandsdyktig IT-system handler også om alt det andre. Om skalerbarhet og beredskap for at alt kan skje, sier Mathias.
Spørsmålet er bare hvordan det skal gjøres. Hvordan forbereder du deg på at hva som helst kan skje? Helst uten at IT-området blir så stort at budsjettet sprekker flere ganger.
Dra nytte av nye scenarier
Måns Wallin er seniorrådgiver i konsulentfirmaet Radar, og i rapporten ”Återstart Sverige” tar han opp scenarioplanlegging som et nyttig verktøy
– Å være motstandsdyktig i dag betyr at du må være i stand til å håndtere alt på skalaen. Å planlegge for alt som kan skje mellom en normalsituasjon og katastrofe. Det viktigste for å skape motstandskraft er å ikke være helt uforberedt. Ha en basisplan som grunnlag, slik at du kan håndtere avvik.
Og ikke alle scenarioer du analyserer må være negative.
– Si at et scenario er situasjonen vi har sett under pandemien, at det plutselig er et overskudd av konsulenter. Hvordan kan du planlegge å dra nytte av det?, sier Måns.
Å skape motstandsdyktig IT er ikke et enmannsshow for IT-sjefen.
Ikke et enmannsshow for IT-sjefen
Men planlegging er ikke alt. Det kreves også verktøy for å utføre planen. En løsning som har blitt promotert mye de siste årene, er skyløsninger og fleksibiliteten de innebærer. Og selvfølgelig kan de være on-demand-tjenesten som gjør det mulig å slå til for fullt hvis situasjonen krever det, men Måns Wallin maner likevel til forsiktighet.
– Skyløsninger kan være gode, men du må være veldig bevisst på hva du kjøper, og fra hvem.
Hvor står serverne? Hvilke juridiske krav gjelder der? Og ikke minst, hva slags service får du som liten kunde av disse gigantene når helvete bryter løs?
– Skal du bruke skytjenester, må du ha en klar leverandørkontroll. Å skape motstandsdyktig IT er ikke et enmannsshow for IT-sjefen. Det handler om å innse at vi må samarbeide, internt i organisasjonen og eksternt med leverandørene. De som klarte seg best i 2020 var de som hadde en aktiv leverandørkontroll. Riktig teknologi er viktig, men god ledelse er nøkkelen til motstandsdyktig IT.
Gjør sikkerhetshjemmeleksene dine
”Uansett hvilken teknologi du bruker, er det din tilnærming til den teknologien som skaper robusthet", sier Mathias Törnblom.
– Tilfeldigheten favoriserer forberedelser. Å engasjere seg i strukturert sikkerhetsarbeid er en bra start for å bygge motstandsdyktig IT, sier Mathias Törnblom, kundeteknologievangelist hos Dustin.
En grunnleggende støtte er nettstedet informationssäkerhet.se. Der tilbyr en rekke svenske myndigheter støtte og veiledning i hvordan opprette en sterk beskyttelse for organisasjonenes IT-sikkerhet. Det finnes for eksempel informasjon om ulike kryptoløsninger, metodestøtte for analyse og veiledning for sikkerhetskrav ved oppkjøp.
– Hvis du ønsker personlig hjelp og veiledning, kan du selvfølgelig kontakte oss på Dustin og melde deg på en workshop om sikkerhet der vi kartlegger din nåværende situasjon. Du kan kombinere det med kontinuerlig opplæring i sikkerhetshåndtering for alle medarbeiderne. Da har du kommet langt.
Du kan også oppnå mye med verktøy du allerede har.
– Ta for eksempel Microsoft 365. Der finner du en sikkerhetsvurdering som hjelper deg med å gå gjennom hundrevis av forholdsregler. Hvis du gjør hjemmeleksene dine, flytter du sikkerheten flere trinn oppover.
Akkurat nå er det mange kunder som spør Mathias Törnblom om Zero Trust, en filosofi som forutsetter at IT-sjefen ikke kan stole på noen. Kontoen kan være hacket, passord kan være stjålet. Strategien er å kontrollere at brukeren virkelig er den han hevder å være. Igjen og igjen.
Men Zero Trust er ikke et produkt du installerer, det er en filosofi der sikker tilgang er den grunnleggende funksjonen.
– Mange av våre kunder har hørt om det og vi får mange spørsmål om hvordan det fungerer. Men jeg vil påstå at uansett hvilken teknologi du bruker, er det din tilnærming til den teknologien som skaper motstandskraften.
Mathias Törnblom, kundeteknologievangelist hos Dustin.
Måns Wallin, seniorrådgiver i konsulentfirmaet Radar.Slik fungerer Zero Trust
Tidligere bygget vi vår IT-sikkerhet som murer rundt et slott. Skurker ute, venner inni. Dette fungerer egentlig ikke i dag. Du må hele tiden patruljere langs muren. Sjekk alle som vil inn.
Zero Trust-modellen fungerer i korte trekk slik:
- Den går ut fra at du er hacket.
- Hver anmodning om tilgang til IT-systemet ditt blir verifisert og analysert før det gis tilgang.
- Den kombinerer et sterkt IAM-system med den nyeste sikkerhetsteknologien. Riktige folk får tilgang til riktige og relevante ressurser og ingenting annet.
- Den gir fleksibel tilgang til IT-miljøet, med rask og datadrevet respons fra sikkerhetssystemet.