Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
En ny undersøgelse fra Dansk Erhverv viser, at de fleste danske virksomheder ser cybertrusler som en reel og voksende risiko. Det er ikke nyt. Heller ikke, at mange især SMV’er ligger under det nødvendige sikkerhedsniveau.
Den netop lancerede nationale strategi for cyber- og informationssikkerhed afsætter 211 millioner kroner til blandt andet at støtte SMV’er i deres cybersikkerhedsrejse.
Men selv med støtte mangler mange SMV’er både kapacitet og ressourcer til at implementere effektive sikkerhedsløsninger.
I Atea ser vi nemlig ofte, at SMV’ers sikkerhedsudfordringer ikke handler om manglende investeringer, men om manglende sammenhæng.
Mange har over tid opbygget et fragmenteret sikkerhedslandskab med løsninger fra flere leverandører, ofte anskaffet enkeltvis som reaktion på konkrete hændelser eller anbefalinger.
Resultatet er overlap i funktionalitet, uklare snitflader og teknologier, der aldrig bliver udnyttet fuldt ud.
Identitetssikkerhed er et klassisk eksempel: selv multifaktor er ikke konsekvent implementeret, ikke på grund af mangel på viden, men mangel på ejerskab og struktur. Det skaber en illusion af modenhed, mens risikoen i praksis er højere, end ledelsen tror.
Derfor er der behov for en mere pragmatisk tilgang til cybersikkerhed i SMV-segmentet.
En tilgang, der tager udgangspunkt i overblik frem for perfektion, i robuste grundkontroller frem for avancerede konstruktioner og i tydelige prioriteringer frem for altomfattende ambitioner.
Start med overblikket og styrk de få vigtigste kontroller
Konkret betyder det, at mange SMV’er har brug for at starte i det basale: ét samlet overblik over deres vigtigste systemer, data og adgange. Hvad er forretningskritisk? Hvem har adgang til hvad? Og hvad sker der, hvis det bliver utilgængeligt i morgen?
Først når det overblik er på plads, giver det mening at tale om rammeværk, modenhedsmodeller og videre investeringer.
Dernæst bør fokus ligge på sikkerhedshygiejne og få, gennemgående grundkontroller, der faktisk reducerer risiko.
Konsekvent identitetssikring med fuldt udrullet multifaktorgodkendelse. Enkle og afprøvede backup- og gendannelsesprocedurer. Grundlæggende patching og opdatering af kendte sårbarheder. Kontroller, som ikke kræver et sikkerhedsteam for at fungere, men som kan drives stabilt som en del af den daglige it-drift.
Endelig kræver en pragmatisk tilgang, at sikkerhed får et tydeligt ejerskab, også i mindre organisationer. Ikke nødvendigvis i form af en CISO, men som et klart ansvar, der forbinder teknik, forretning og ledelse.
Uden ejerskab bliver selv de rigtige løsninger hurtigt komplekse, fragmenterede og ude af drift. Vi ser ofte, at virksomheder vælger at købe SOC/monitorering som en service, fordi det ofte ikke er realistisk at opbygge den kapacitet internt.
Det er denne form for enkelhed, prioritering og realisme, der mangler i mødet med mange SMV’er i dag.
I stedet møder vi dem ofte med komplekse løsninger inspireret af store enterprise-organisationer: tunge rammeværk, komplicerede arkitekturer og omfattende lister af kontroller. Ambitionen er høj, men realismen lav.
Sandheden er, at god cybersikkerhed ikke handler om mængden af kontroller, men om de kontroller, der faktisk anvendes, forstås og følges op på. Et simpelt setup, der bruges hver dag, slår et avanceret setup, der kun eksisterer på papiret.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
