Av: Åsa Schwarz
Sverige ligger på tredjeplats i världen när det gäller innovation. Spotify, Klarna, Mojang. Stockholm har nästan lika många start-ups som Silicon Valley. Våra gamla kronjuveler H&M och Ikea är två av de tio bolagen i världen som expanderar snabbast. Vi är innovativa och ser inga begränsningar. Tempot skruvas upp. Tekniken används till max. För oss som arbetar med säkerhet är det bara att spänna fast säkerhetsbältet och njuta av åkturen. Nedan är några råd på vägen.
1. Bli bäst på incidenter
En utmärkande trend är att produkter snabbt når stora marknader. Det tog femtio år innan tv:n fick en miljard användare, det tog femton år innan lika många hade internet. Meddelandeapparna tog det två år för. För att klara konkurrensen måste produktutveckling gå i vansinnig fart. Det finns två sätt att hantera detta ur ett säkerhetsperspektiv: att ha utvecklare och arkitekter som kan säkerhetsfrågor i ryggmärgen eller att bli expert på att hantera incidenter. Helst båda två.
2. Ingen säkerhet utan säker kod
Företag stöttar inte längre sin verksamhet med it, de är digitala verksamheter. Infrastrukturen blir allt mer standardiserad och säker. Brottssyndikat och stater vill ha våra affärshemligheter och patent. Den i särklass största drivkraften är pengar. Attackerna riktas mot vår svaga punkt, egenutvecklad kod.
3. Allt är it
Vi har blivit bra på system som stödjer kontorsmiljöer medan många har sämre kontroll på system utanför kostymzonen. Då menar jag allt från produktionssystem och styrsystem till sakernas internet. Det blir en allt större risk att inte ha en helhetssyn, speciellt när allt är ihopkopplat. Vad är värst för dig, om en hackare tar över fabriksrobotar eller om hen tar sig in på webbservern?
4. Ta hand om pengarna
Datorrelaterade bedrägerier i Sverige har ökat med hundra procent mellan första kvartalet 2015 och första kvartalet 2016. De motsvarar nu mer än åttatusen kronor per person eller två procent av BNP. Det är riktade attacker med välformulerade mail och länkar. Det är därför värt att se över utbetalningsprocesserna.
5. Personliga integriteten i fokus
År 2018 får vi ett nytt regelverk som är till för att skydda den personliga integriteten, dataskyddsförordningen. Den är mest omskriven för sina stora sanktionsbelopp men intressantast är att den ställer krav på en bra riskprocess, snabb incidenthantering och en vettig systemutveckling. Ta reda på vad lagen innebär för just din organisation.
6. Identitetshantering är oljan i maskineriet
Vi har inte längre tid att ha våra medarbetares identiteter spridda och dubblerade i verksamhetssystemen. Det är dyrt, sänker kvalitén och säkerheten. Vi måste snabbt kunna få tillgång till information beroende på var vi är och vad vi gör. Dessutom måste vi kunna lita på våra samarbetspartners identiteter (sk federationer). Ett första steg är att göra en strategi för hur du vill ha det.
7. Våga investera i medarbetare
Under de senaste åren har antalet specialister inom cybersäkerhet inte ökat samtidigt som branschen växer med mellan åtta till tio procent per år. Trettiofem procent av alla säkerhetschefer har svårt att genomföra förändringar på grund av kompetensbrist. De bolag som vågar anställa nyutexaminerade eller utveckla befintliga medarbetare, kommer kunna ta ett steg före sina konkurrenter.
8. Stå på barrikaderna
Tiden när en säkerhetschef kan sitta på sitt rum och skriva policys är förbi. Arbetet innebär till stor del att motivera dina medarbetare och marknadsföra nya arbetssätt. Känner du dig inte helt säker på hur du ska göra, ta hjälp av andra på bolaget: marknadsförare, socionomer eller förändringsledare.
9. Skapa gränsöverskridande team
Säkerhet är ett tvärvetenskapligt område. Ändå jobbar fortfarande jurister, tekniker och riskmanager ofta för sig. Om de istället arbetade tillsammans skulle vi få en bättre riskbild, göra smartare prioriteringar och skapa verklig förändring.
10. Ta risk och ta kontroll
Enligt MicroMarketMonitor kommer marknaden för GRC-tjänster (Governance, Risk and Control) växa med nästan femton procent per år. Det är inte konstigt. Det är bara att titta på den brokiga bild jag målat upp med en skenande innovation, it i alla prylar och expanderande företag. För att inte tala om in- och outsourcing.
Vi måste våga ta risker men veta varför. Men viktigast av allt: vill vi vara världsbäst på innovation, måste vi vara lika bra på att hantera incidenter. För något kommer förr eller senare gå riktigt, riktigt fel.
Krönikan ovan är skriven av vår egen Åsa Schwarz och har publicerats i det senaste numret av tidningen Aktuell Säkerhet. Krönikan "Bli världsbäst på att hantera incidenter" fokuserar på samhällets snabba utveckling och i den lyfter Åsa fram 10 viktiga säkerhetsaspekter som råd på vägen.