Om WatchcomNyheterParanoiaKontakt Søk
Rådgiving:

Rådgiving

Norske bedriftsledere og politikere stikker hodet i sandenVenter til krisen treffer dem

Avsløringene av de massive og vellykkede hackerangrepene mot norske politikere og ambassadeansatte de siste ukene kommer ikke som noen overraskelse på oss som jobber med cybersikkerhet.

Av Fredrik Galtung, senior sikkerhetsrådgiver i Watchcom
I vårt selskap, som jobber kontinuerlig med å sikre norske virksomheter og arbeidsplasser mot angrep fra cyberkriminelle, er det rart å oppleve at beslutningstakere i flere store norske organisasjoner og politiske miljøer fortsatt velger å utsette gjennomføring av helt grunnleggende opplærings- og sikkerhetstiltak for å forsvare seg mot et hackerangrep. Man kan bli klok av erfaring, men hvorfor må vi alltid vente til krisen har skjedd? Hverdagen består av prioriteringer, og man må som oftest fokusere på det som "haster mest". Samtidig skjer det stadige endringer i virksomheters digitale hverdag, som gjør det tilsvarende mer påkrevet å være forberedt på når uønskede hendelser oppstår. Og det gjør de – uten unntak.

Sikkerhetspolicy

Omfattende driftsforstyrrelser, digitale trussel aktører, sosial manipulering av virksomhetens ansatte, og brudd på personvern av kunders informasjon, er blant flere alvorlige hendelser som kan forårsake stor skade for virksomheten. Man kan ikke sikre seg fullstendig mot at slike hendelser skjer – men man kan forberede virksomhetens evne til å håndtere slike hendelser på best mulig måte!

En tydelig sikkerhetspolicy må være på plass. Sikkerhetsbevissthet og –kultur er også viktig. Et styringssystem for informasjonssikkerhet basert på ISO27001 ISMS gir virksomheten et meget godt verktøy for å etablere og videreutvikle et sikkerhetsmiljø i virksomheten, med fokus på verdivurdering, risikovurdering, og implementering av tiltak som er relevante for virksomheten. Annex 17 i ISO27001 tar også spesifikt for seg hvordan informasjonssikkerheten bør ivaretas under uønskede hendelser.

Sjekkliste

Allikevel kan virksomheten ofte være utilstrekkelig forberedt på alvorlige hendelser i hverdagen, der virksomhetens omdømme kritisk vurderes utfra de forberedelser man har gjort - og den handlingsevnen man utviser. Vellykket hendelseshåndtering forutsetter at man er godt forberedt for det uventede!

Til det trenger man å fokusere ytterligere på;
  • hvordan man skal sikre virksomhetens – og ikke bare informasjonssystemenes - kontinuitet ved driftsforstyrrelser
  • hvordan ulike nivåer av IT-hendelser skal håndteres
  • hvordan håndtere en krise dersom det skulle oppstå

Figuren nedenfor beskriver sammenhengen mellom disse fokusområdene – der f.eks. en hendelse kan starte som en ubetydelig driftsforstyrrelse, men kan utvikle seg til en krise dersom hendelsen ikke blir håndtert på riktig måte;

Foruten IT tiltak i forhold til tilgjengelighet, kapasitet, redundans og geografisk plassering av systemer og backup, må virksomheten således også forberede sin organisasjon for alternative løsninger og krisehåndtering. Har man ikke forberedt seg før en hendelse, vil man i etterkant sitte med mye erfaring for hvorfor og hva man burde ha vært forberedt på – men til hvilken pris?

Og vil denne erfaringen være gjeldende for andre, urelaterte hendelser?

De 3 fasene

Løpende vedlikehold er som kjent rimeligere enn reparasjoner, og det samme gjelder for beredskapsforberedelser i forhold til krisehåndtering med følgeskader. God beredskap oppnås gjennom følgende 3 faser;
1) Forberedelser
2) Øvelser
3) Evaluering og forbedringer

Å være forberedt på håndtering av alvorlige hendelser, betyr at virksomheten først må identifisere og dokumentere forventningene og forutsetningene til virksomhetens kontinuitet. Dette resulterer i prioriteringer og tiltak for gjenoppretting av systemer, samt hvordan tenke kreativt når normale rutiner og verktøy ikke lar seg bruke. Dernest må beredskapsplanverk utarbeides/forbedres - og organisasjonen må gjøres kjent med bl.a. beredskapsplan, varslingsrutiner, og tiltakskort gjennom opplæring i sine roller og ansvar.

Øvelser i krisehåndtering

Når dette er på plass, har virksomheten en sjanse til å reagere på alvorlige hendelser med noe mer enn bare tilfeldigheter og hell. Men for at en organisasjon virkelig skal være praktisk forberedt, må det planlegges og gjennomføres øvelser i krisehåndtering. Dette gjør at organisasjonen får trent på roller, samhandling og kommunikasjon - samtidig som eventuelle mangler i beredskapsplanverk avdekkes og dokumenteres som forbedringsbehov. Scenario for øvelsene kan gjerne hente inspirasjon fra utførte risikovurderinger – eller kanskje man velger å hente inn eksterne ressurser for å skape "The element of surprise"?

Etter øvelser, og også periodisk mellom øvelser, må virksomheten følge opp med gjennomføring evalueringer og forbedringstiltak, slik at kriseorganisasjonen og beredskapsplanverk inngår som del av virksomhetens kontinuerlig forbedring. Man kan gjerne starte med blanke ark og bygge opp sitt beredskapsplanverk m.m. fra bunnen av - men hvorfor finne opp hjulet på nytt, når det allerede finnes en internasjonal standard for dette?

Watchcom tilbyr kurs i ISO22301 Foundation » , og bistår gjerne med kunnskap, maler, erfaring og kreativitet til å hjelpe våre kunder være så forberedt som mulig på det uventede – og dermed redusere risikoen for å måtte bli klok av egne erfaringer.
Del på Facebook
Del på Twitter
 
© 2016 Watchcom Security Group AS. Telefon (+47) 22 45 91 50.
Watchcom bruker cookies (informasjonskapsler) på sine nettsider til bl.a. statistikk og skjemaoppdateringer. Ved å gå inn på nettstedet samtykker du til at det lagres cookies i din nettleser, dersom du selv ikke endrer innstillingene i nettleseren.