Motståndskraft: ett steg längre än bara efterlevnad

Inom cybersäkerhet finns flertalet begrepp som ofta dyker upp, och det finns två som omnämns allt oftare: efterlevnad och motståndskraft (eller på engelska, compliance och resilience). Båda är viktiga för ett systematiskt och robust säkerhetsarbete men jag vill argumentera för att motståndskraft är snäppet viktigare än efterlevnad. Men först, låt oss reda ut begreppen.

Begreppen kan definieras på följande sätt:

• Efterlevnad (compliance)
  Efterlevnad innebär att följa en förutbestämd uppsättning av regler eller krav som fastställs av ett beslutande organ, det kan exempelvis vara EU, en regering, tillsynsmyndighet eller organisation som skapar standarder. Exempel på lagar, regelverk eller standarder är GDPR, PCI DSS och ISO 27001.

• Motståndskraft (resilience)
  Inom cybersäkerhet avser motståndskraft förmågan att kontinuerligt leverera i förväg önskat resultat trots ogynnsamma händelser eller förutsättningar. Det infattar förmågan att förbereda sig, agera på, anpassa sig efter och återhämta sig från cyberhot och incidenter.
  
  

Begränsningar av att endast sträva efter efterlevnad

Efterlevnad är viktigt, det går inte att argumentera mot, men det har sina begränsningar. Lagar, regler och standarder är statiska eller – mer korrekt – statiska under lång tid med få och glesa ändringar. Därför är de också svåra att hålla uppdaterade i ett hotlandskap under ständig förändring. Efterlevnadskrav bör därför ses som ett minimikrav för säkerhetskontroller då de inte tar hänsyn till alla unika risker och riskkombinationer en specifik verksamhet ställs inför.

Efterlevnad upplevs ofta som ett måste. Det uppmuntrar sällan till anpassningsförmåga och problemlösande. För de flesta innebär det bara att göra “good enough” och få sitt ”check-in-the-box”, det vill säga, fokus ligger på att uppfylla kraven snarare än att förbättra den övergripande säkerheten.

Fördelar med motståndskraft

Motståndskraft är ofta en mer dynamisk och adaptiv strategi än att endast sträva efter efterlevnad. Motståndskraft handlar som tidigare nämnt om att förbereda sig, agera på, anpassa sig för och återhämta sig från cyberhot och incidenter.

Motståndskraft handlar inte bara om att bli godkänd; det handlar om att förändra kulturen inom verksamheten till att vilja vidta åtgärder och att vilja vara förberedd. Motståndskraft känns mer som något som man vill göra och inte bara ett måste.

Nedan listas några anledningar till varför motståndskraft är något att sträva efter:

Anpassningsförmåga
Som tidigare nämnt är anpassningsförmågan större vid motståndskraft som mål än bara efterlevnad. Cyberhoten förändras ständigt och vad som fungerar idag är det inte säkert fungerar imorgon. Medan anpassning efter hoten blir en del av strategin vid motståndskraft leder efterlevnad ofta till verksamheten, när de fått sin ”check-in-the-box”, är nöjda och gör inte de förändringar som kanske behövs förrän efter något skett. Vilket leder oss till nästa punkt...

Proaktivt försvar
Att bara ägna sig åt efterlevnad leder ofta till ett reaktivt beteende och många gånger görs inte åtgärderna förrän efter en incident skett eller i sista sekund innan en revision. Det vill säga, endast för att bli godkänd. Jag säger inte att det är så i alla verksamheter men tyvärr är det mycket vanligt. Motståndskraft är istället proaktivt, det innebär att verksamheten har större möjlighet att identifiera hot och bedömer sårbarheterna samt inför implementering av säkerhetsåtgärder innan något inträffar. Bedömningarna sker också mer kontinuerligt och inte bara vid årliga revisioner.

Business continuity
Efterlevnad och motståndskraft hjälper verksamheten att fortsätta sina arbetsuppgifter även om en incident inträffar. Genom att vara förberedd finns det handlingsplaner på plats och alla vet vad som ska göras. Efterlevnad riskerar att leda till att dokument är hastigt ihopsatta och inte anpassade efter verksamheten då det endast gjorts för att klara ett krav och inte för att förbättra verksamheten som helhet. Motståndskraft gör att organisationen är förberedd genom att tidigt ha skapat de dokument och det material som krävs för att fortsätta verksamheten även om motgångar uppstår.

Holistiskt tillvägagångsätt
Motståndskraft tar mer hänsyn till människorna, processerna och tekniken samt deras förhållningssätt gentemot varandra. Motståndskraft gör cybersäkerheten mindre teknisk genom att även ta med beteende och verksamheten i stort i beräkningarna.

Sammanfattning

Även om efterlevnad är en viktig del av alla cybersäkerhetsstrategier har begreppet tyvärr inte alltid tolkats på det sätt som det från början var tänkt, utan många ser det bara som ett måste. Det gör att det är inte tillräckligt i sig då det kan leda till en falsk känsla av säkerhet.

Det är här motståndskraft kommer in; motståndskraft hjälper oss inte bara med att uppfylla lagar, regler och standarder, utan ger oss också möjligheten att anpassa oss efter en värld i ständig förändring. Det ger oss möjlighet att växa. Motståndskraft är alltså inte bara ett bättre ord, utan också en bättre strategi som tar organisationen ett steg längre.