Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Efterhånden som organisationer bliver mere afhængige af komplekse it-netværk og tredjepartsleverandører, øger skjulte sårbarheder risikoen for tab af data og driftsnedbrud.
Med uoverskueligt store datamiljøer og et stadigt stigende antal tredjepartsleverandører, kæmper organisationer for at følge med, og efterlader uforvarende huller i deres dataresiliens, som ondsindede aktører kan udnytte.
Men med så meget, der skal håndteres, hvor begynder organisationer overhovedet?
Det her er måske ikke det svar, de ønsker at høre: Men de er nødt til at starte fra bunden.
Med den enorme kompleksitet i datamiljøer og tredjepartsnetværk vil ad hoc lappeløsninger kun gøre ondt værre. I stedet for at reagere reaktivt på trusler og compliance-krav, skal organisationer arbejde med dataresiliens på en helhedsorienteret måde. Ellers vil der bare komme flere huller.
Vækst uden overblik
Data vokser eksplosivt, og det gør kompleksiteten også.
I 2010 fyldte den digitale verden 2 zettabyte. I 2024 er tallet 147 zettabyte.
Og meget af det er forretningskritiske data.
Med udbredelsen af AI er mængden og mangfoldigheden af data kun steget, og mange organisationer har ikke længere overblik over, hvor data ligger, hvem der har adgang, eller hvordan det er sikret. Det er et problem.
I mange tilfælde er AI blevet implementeret uden tilstrækkelige processer, hvilket har skabt datasiloer og efterladt store mængder data uden for central kontrol.
Det betyder, at mange fejlagtigt tror, de har overblik over deres datamiljø, men i virkeligheden mangler de store dele af billedet.
Og hvis man ikke engang ved, hvilke data man har, hvordan skal man så sikre dem?
At tænke inden for boksen
Desværre er spredningen af data ikke begrænset til intern infrastruktur.
Tredjepartsleverandører er ofte helt centrale, men samtidig lukkede systemer, man ikke ved hvad indeholder.
Ifølge en undersøgelse fra Cyber Risk Alliance bruger den gennemsnitlige organisation 88 tredjeparter. Og selvom man forventer, at leverandøren har styr på sikkerheden, er det sjældent klart, hvordan data beskyttes, eller hvem der har ansvaret.
Uden en tydelig ‘Shared Responsibility Model’ risikerer man at stå med alvorlige huller i sin dataresiliens. Det er netop derfor, reguleringer som EU’s NIS2 og DORA stiller krav til risikostyring af tredjepartsdata.
Mange virksomheder er stadig ikke dér, hvor de burde være. En McKinsey-undersøgelse viser, at 30 procent af organisationer overvurderer deres dataresiliens. Det skyldes ofte manglende indblik i egne datamiljøer og afhængigheden af tredjeparter.
Det sætter DORA fokus på, og alligevel peger 34 procent af organisationerne på samarbejdet med tredjeparter som den største udfordring i implementeringen. Seks måneder efter ikrafttrædelsen føler 96 procent stadig, at deres dataresiliens bør forbedres.
Et tydeligt tegn på at, reguleringen har været en form for ‘reality check’ virksomhederne.
At tage fat fra bunden
Så hvad skal man gøre?
Organisationer skal tage ejerskab. Det starter med kritisk selvrefleksion: Hvor findes svaghederne: I egne systemer og hos leverandørerne? Hvor er datasiloerne, de uklare roller, de skjulte risici?
Den gode nyhed er, at der findes værktøjer til at skabe overblik. Et eksempel er Data Resilience Maturity Model, en industristandard og selvvurdering, der giver overblik og konkret handlingsplan.
Modellen forener it, sikkerhed og compliance og giver struktur til arbejdet med at styrke dataresiliens både internt og med tredjeparter.
Men det er ikke en engangsindsats. Resiliens kræver løbende test og tilpasning. Truslerne udvikler sig, så det skal man også selv.
Regelmæssige, grundige tests kan føles som en tung byrde. Men det er ingenting i forhold til konsekvenserne af et angreb i virkeligheden.
Som man siger: Når én dør lukkes, åbner en anden. Bare sørg for, at det ikke er en bagdør for en ondsindet aktør.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
