2022-04-24

Er bedriften din rustet mot et cyberangrep?

Selv om bedriften har investert i IT-sikkerhetsløsninger, er det mange som ikke vet om løsningene fungerer godt nok. For å vite hvordan du best sikrer deg mot angrep, trenger du en modenhetsanalyse.

– Jeg får veldig ofte spørsmål fra ledere som har lest artikler i media om bedrifter som har blitt hacket, og spør om det kunne skjedd også dem. Da må jeg svare ærlig og si at det kan skje alle, sier Thomas Tømmernes, Head of IT-security i Atea.

Den erfarne sikkerhetsspesialisten er opptatt av at IT-sikkerhet er noe du må jobbe med kontinuerlig hvis du vil ligge i forkant av eventuelle angripere. Trusselbildet endrer seg fra dag til dag, og sikkerhetsløsningene og tiltakene som var gode nok i går holder ikke nødvendigvis mål i dag.

– For å finne ut hvor skoen trykker, er det nødvendig å gjennomføre det vi i Atea kaller en modenhetsanalyse, sier Tømmernes.

Vil du vite mer om vår modenhetsanalyse? Ta kontakt for en uforpliktende prat

Følger prinsippene til NSM

En modenhetsanalyse er en grundig gjennomgang og analyse av hvordan det står til med IT-sikkerheten i bedriften, sett fra et helhetlig perspektiv. Analysen er strukturert etter Nasjonal Sikkerhetsmyndighets (NSMs) grunnprinsipper, som beskriver et sett med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk.

Etter at modenhetsanalysen er gjennomført, vil bedriften få en oversikt over hvilke sikkerhetsutfordringer den står overfor. Hva er bra, og på hvilke områder er det forbedringspotensiale?

– Analysen gir deg så en rekke anbefalinger om hvilke tiltak du bør gjøre, og hvilke sikkerhetsmekanismer som må på plass for å oppnå det sikkerhetsnivået man ønsker, sier Tømmernes.

IT-sikkerhet er ledelsens ansvar

Ifølge en rapport fra Gartner ser 88 prosent av styrer på cybersikkerhet mer som en forretningsrisiko enn et teknisk IT-problem. Selv om det er bra at styret er bevisst på at mangelfull IT-sikkerhet kan utgjøre en risiko for virksomheten, mener Gartner mener at rollen til CISO-er (ledere innenfor cybersikkerhet) må endres. Årsaken er at ansatte i stadig større grad tar beslutninger som kan få vidtrekkende konsekvenser for IT-sikkerheten i bedriften.

Mens en CISO tradisjonelt har vært en person som har hatt ansvaret for å håndtere cyberrisiko, mener Gartner at en CISO i større grad må være en person som sørger for at forretningsledelsen har den grunnleggende kunnskapen og det de trenger for å fatte gode beslutninger rundt informasjonssikkerhet.

Få svar på prioriteringer

Ateas modenhetsanalyse er laget nettopp for å gi ledelsen de svarene den trenger for å fatte gode beslutninger rundt IT-sikkerhet, og få et helhetlig bilde av sikkerhetssituasjonen i virksomheten.

– Analysen gir deg det du trenger for å skape langsiktighet og kontinuitet i sikkerhetsarbeidet, samt at du får et godt grunnlag for hvilke prioriteringer du bør gjøre, sier Tømmernes.

Han understreker at jobben ikke er ferdig når tiltakene er på plass. Det er også nødvendig å ha noen som kontinuerlig følger med på at det ikke er noen avvik.

– Mange av våre kunder har derfor valgt vår SOC+-tjeneste, som er et virtuelt vekterteam som 24x7x365 analyserer logger og følger med på alarmer og avvik.

SOC+ samler inn data fra relevante loggkilder, setter dataene i sammenheng, samt analyserer dataene for å se om noe krever oppfølging. På den måten kan angrep ofte avverges, og skulle angrepet være et faktum vil et Incident Response Team (IRT) jobbe sammen med virksomheten for å redusere skadene og gjenopprette normal drift så raskt som mulig.

Vil du vite mer om vår modenhetsanalyse? Ta kontakt for en uforpliktende prat