Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Hver sommer minder vi hinanden om, at hackerne ikke holder ferie. Og selv om det ganske vist er helt rigtigt - og vigtigt - bringer konstateringen i sig selv os ikke ret langt.
For sommerferien skaber sjældent helt nye problemer. Den gør eksisterende svagheder tydeligere.
Når nøglepersoner er væk, arbejdsgange ændrer sig, bemandingen er lavere, og beslutninger tager længere tid, bliver det tydeligt, hvor godt cybersikkerheden er forankret i organisationen.
Er beslutningsveje, processer og ansvar indarbejdet på tværs af organisationen?
Eller afhænger sikkerheden i praksis af bestemte personer, uformelle rutiner og hurtige afklaringer på tværs af skriveborde?
Hvis svaret på det sidste spørgsmål er ja, har du og din virksomhed et problem, som rækker langt ud over sommerferien.
Trusselsbilledet har ændret sig hurtigere end mange organisationers beredskab.
Angreb er blevet mere automatiserede, mere overbevisende og mere skalerbare. Kunstig intelligens gør det lettere at producere phishingmails uden sproglige fejl, efterligne kommunikationsmønstre og ramme medarbejdere på tidspunkter, hvor opmærksomheden naturligt er lavere.
Et cyberangreb rammer driften, kunderne, leverancerne, tilliden og virksomhedens evne til at fungere.
Derfor bør cyberberedskab behandles som en del af virksomhedens samlede ledelses- og driftsmodel på linje med krisestyring, finansiel risikostyring og forretningskontinuitet.
Cybersikkerheden skal kunne tåle lav bemanding
Mange virksomheder har i dag investeret betydeligt i sikkerhedsteknologi, adgangsstyring, awareness-træning og beredskabsplaner.
Det er alt sammen nødvendigt og vigtigt, men den egentlige test er alligevel organisatorisk.
For hvis sikkerheden falder mærkbart, når bestemte personer går på ferie, er sikkerheden ikke skaleret. Så er den personbåret.
Det er i det hele taget en sårbar model. Men den holder endnu dårligere, når organisationen kører på lavere bemanding, og beslutninger skal træffes af medarbejdere, der ikke plejer at stå med ansvaret.
Modne organisationer bygger sikkerhed ind i arbejdsgange, mandat, automatisering og kultur.
De gør det tydeligt, hvem der kan handle, hvilke beslutninger der kan træffes lokalt, og hvornår noget skal eskaleres.
På den måde bliver cybersikkerhed mindre afhængig af enkeltpersoner og mere en del af virksomhedens måde at fungere på.
Derfor bør virksomheder i den sidste uge frem mod sommerferien tage beredskabet frem og vurdere, om det kan fungere uden de mennesker, der plejer at få tingene til at hænge sammen.
Hvem har mandat til at lukke adgang, eskalere til ledelsen eller kontakte eksterne parter? Hvem overtager, hvis de normale ansvarlige ikke er tilgængelige?
Og er procedurerne enkle nok til, at de virker under pres, når medarbejdere løser uvante opgaver?
Det er vigtigt hele året.
Men sommerferien gør svaghederne synlige, fordi den bryder normaldriften op og viser, om sikkerheden er bygget ind i organisationen, eller om den kun fungerer, når nøglepersoner er på arbejde.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.