Artikel top billede

Seks vigtige principper: Her er den nye måde at arbejde med it-sikkerhed på

Gartner Symposium: Drop dine mange sikkerheds-rapporter til ledelsen. Her er seks vigtige principper for fremtidens it-sikkerhed, der vil gøre dig langt mere effektiv.

Gartner Symposium, Barcelona: Den traditionelle måde at arbejde med it-sikkerhed på fungerer ikke længere.

Du får intet som helst ud af at bombardere virksomhedens øverste ledelse og bestyrelsen med et hav af informationer og rapporter om, hvordan det står til med it-sikkerheden.

Information om, hvor lang tid man er om at patche forskellige applikationer og systemer, giver eksempelvis ikke den store mening i de øverste ledelseslag.

Og slet ikke i en tid, hvor digitaliseringen buldrer afsted og er med til at forandre mange virksomheder.

Læs også: Derfor er du tvunget til at dele dine data og algoritmer med resten af verden

Det forklarede Gartners chief of research på sikkerheds- og risikoområdet til en sal med it-chefer og sikkerhedsansvarlige på Gartners Symposium i Barcelona.

"Vi taler ikke om den absolutte beskyttelse i disse dage - vi taler om, hvad den rette mængde beskyttelse er," sagde han.

"Den perfekte beskyttelse findes ikke. Der findes kun vores valgmuligheder."

Alle bliver ramt af angreb

Årsagen til det skift er, at det ikke længere giver den store mening at have en tro på, at man kan beskytte sig så meget, at de it-kriminelle aldrig får held med deres angreb.

I stedet skal udgangspunktet være et helt andet:

"I vil blive angrebet, og derfor bør jeres fokus skifte til 'detection' og 'response'. I 2020 bør 60 procent af jeres investeringer i sikkerhed gå til detection og response."

"Du skal forklare ledelsen, at I ikke kan beskytte jer selv tilstrækkeligt. De tror, at det er et teknisk spørgsmål, der kan løses af tekniske mennesker. Men det eneste, vi kan gøre, er at træffe nogle valg," forklarede Gartner-rådgiveren.

Her er din nye sikkerheds-strategi

En global Gartner-undersøgelse blandt næsten 3.000 CIO'er har vist, at 89 procent af dem mener, at den øgede digitalisering bringer nye typer og niveauer af risici og trusler på banen.

Hvor løsningen på øgede trusler historisk set har været at investere i ny teknologi, så er sikkerhedsansvarlige og CIO'er nødt til at håndtere udfordringen på en anden måde nu, mener Paul Proctor.

"Vi har en ny situation med den digitale virksomhed. Vi har en mulighed for at få det gjort rigtigt denne gang," sagde han og kom med denne anbefaling:

"Du skal se på værdien af det, du ønsker at opnå og holde det op imod den risiko, du er villig til at løbe."

"Hvor stor en risiko er acceptabel?" lyder et kernespørgsmål i dag ifølge Gartner, der fremhæver følgende:

"Risikobaserede beslutninger balancerer behovet for beskyttelse med behovet for at drive virksomheden. Dit ansvar er at forklare dem (ledelsen og bestyrelsen, red.), hvad deres valgmuligheder er."

Læs også: Algoritmernes tid er kommet - snart vil de ændre alt for din virksomhed

Paul Proctor forklarede, at alt for mange it-afdelinger og sikkerhedsteams fejlagtigt tror, at de gør deres arbejde godt, hvis de bare sætter en masse metrikker op og således kan rapportere tingenes tilstand til virksomhedens øverste ledelse.

"Nutidens sikkerhedsteams er ikke rustet til det, der vil komme," lød hans påstand.

"I har masser af metrikker og er gode til at måle ting i driften. Men hvad er det for nogle metrikker, der er relevante for de ledere, der ikke er fra it?"

"Din risikostyring er spild af tid, hvis du ikke får informationer, der gør dig i stand til at finde ud af, hvor der skal være beskyttelse, og hvor der ikke skal."

Fokuser på værdiskabelsen

Paul Proctor anbefaler, at man viser virksomhedsledelsen, hvordan en proaktiv risikoindsats rent faktisk tilfører virksomheden værdi - for det er værdiskabelsen, man forstår og kan forholde sig til i den øverste ledelse.

Hvis man eksempelvis har udfordringer med at patche applikationer - og dermed har en øget risiko for at bloive ramt af angreb - vil det kunne ramme supply chain-applikationerne.

Læs også: Derfor er du tvunget til at dele dine data og algoritmer med resten af verden

Det vil så igen kunne betyde, at man ikke når det mål, virksomheden har for kvartalet - og det er den besked, ledelsen kan forholde sig til.

"Hvis du viser dem ting, der rent faktisk betyder noget for dem og for deres beslutninger, vil de gerne have mere information. De er nødt til at se det, fordi det gør deres beslutninger bedre," forklarede Paul Proctor.

Seks vigtige principper for it-sikkerhed

Gartner har seks principper for effektiv beskyttelse og it-sikkerhed i den moderne, digitale virksomhed:

1) Du skal stoppe med at fokusere på 'check box compliance' og i stedet skifte til risikobaserede beslutninger.

2) Du skal stoppe med kun at fokusere på beskyttelsen af infrastrukturen og i stedet begynde at understøtte forretningens mål.

3) Du skal holde op med kun at være en, der beskytter. Vær i stedet en, der faciliterer.

4) Du skal stoppe med at forsøge at kontrollere data og informationer. I stedet skal du finde ud af, hvordan de skal bevæge sig rundt i systemet.

5) Accepter at der er teknologiske begrænsninger og bliv mere menneske-orienteret.

6) Stop med at forsøge at lave den perfekte beskyttelse af organisationen og invester i stedet i detection og response.

Læs mere fra Gartners Symposium her:

Derfor er du tvunget til at dele dine data og algoritmer med resten af verden

Algoritmernes tid er kommet - snart vil de ændre alt for din virksomhed



Premium
Claus Thorsgaard skal sætte gang i væksten som ny CEO: Her er hovedopgaverne som topchef i Luxion
Den tidligere Conscia-topchef Claus Thorsgaard skal nu sætte gang i væksten hos den danske it-virksomhed Luxion. "Luxion har et kæmpe uudnyttet potentiale. Ordrerne vælter ind ad døren uden en aktiv salgsindsats, så hvis vi begynder at fokusere på det, så skulle det gerne gå endnu bedre," siger den nye direktør til Computerworld.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Så ofte rammer din sikkerhedsleverandør plet – eller helt ved siden af
Denne uafhængige evaluering fra MITRE ATT&CK giver et billede af styrker og svagheder hos førende udbydere af cybersikkerhedsydelser. Rapporten vurderer bl.a. reaktion og træfsikkerhed på simulerede angreb og af, hvor hurtigt der slås alarm.