Ett nytt paradigm för säkerhet

En omfattande förändring sker för hur företag och myndigheter ser på cybersäkerhet. Det leder till nya roller, kompetenser och nya sätt att organisera säkerhetsfunktionen.

Cybersäkerhetsbranschen talar om att organisationer börjar betrakta cybersäkerhet på ett nytt sätt. Det visar inte minst en kommande rapport från analysföretaget Radar, men också många branschkällor. Idag ligger cybersäkerheten ofta undanskuffad i källaren, som en del av it-avdelningen. En teknisk funktion, svår att förstå sig på och som varnar för allt möjligt i tid och otid. Ledningen betraktar den ofta med skepsis och verksamheter tycker inte sällan att den håller emot utvecklingen.

– Idag hanterar många inte cybersäkerheten utifrån verksamhetens unika affärbehov. Det handlar istället ofta om plåsterliknande punktlösningar, säger Bala Periasamy, ansvarig för cybersäkerhet på Accenture i Norden.

– Som jag ser det måste de verkliga säkerhetsexperterna arbeta närmare affärsorganisationen för att förstå affärsriskerna.

Brister i dagens cybersäkerhet

Enligt en ny rapport och guide från kanadensiska analys- och rådgivningsföretaget Info-Tech har många organisationer byggt upp cybersäkerheten ad hoc. Kommunikationen gentemot den övriga organisationen fungerar dåligt och säkerhetsfunktionen är onödigt dyr och ineffektiv.

Ett sätt att möta det är att betrakta cybersäkerhet som en process snarare än en funktion. Säkerheten måste komma in i organisationens alla processer för att fungera effektivt.

Att det är nödvändigt att tänka till ordentligt står klart. Cybersäkerhet som område blir allt hetare. Orsaken är en lång rad säkerhetshot på senare tid och att säkerhet uppmärksammas allt mer i de stora medierna. Exempel är några av årets stora utbrott av utpressningsprogramvara (ransomware) som Wannacry och Petya.

Under våren fick också trojanen Cloud Hopper stor uppmärksamhet. Även intrång beroende på säkerhetsluckor har under året väckt stor uppmärksamhet. Till exempel det hos det stora amerikanska keditupplysningsföretaget Equifax och dessutom intrången mot en lång rad svenska företag och myndigheter, vilket uppmärksammats under hösten.

Riskerna förflyttas

Men det som kanske förändrar inställningen till cybersäkerhet allra mest just nu är en lång rad nya branschregler och regleringar, inte minst EU:s GDPR, med omfattande skydd av personuppgifter.

– Många underskattar myndigheternas krav och regleringar på stora företag, säger Bala Periasamy.

– Den nya situationen gör att företag inte längre enbart kan se cybersäkerhet som it. Att bara ha en bra brandvägg och ett antivirus räcker inte. Nu måste du som affärsverksamhet vara förberedd på de risker som kommer, säger Bala Periasamy.

Kräver det ny typ av kompetens?

– Ja, det kräver personer med förmågan att förstå affärsprocesser och som kan se affärsvärdet, säger Bala Periasamy.

Inom handeln, till exempel, måste den nya typen av säkerhetsperson förstå hur flödet av varor fungerar – vad som brukar kallas supply chain– från fabriken till webbhandeln. Det handlar om alla typer av processer; allt från beställning, lagerhantering, logistikflöden och fakturering till betalningar. Säkerhetspersonen måste förstå värdekedjan hela vägen.

– Det innebär att du måste vara närmare affären, för att kunna förstå var risken finns. Först då inser du var den mest värdefulla datan finns eller vilka processer som påverkas mest vid incidenter, säger Bala Periasamy.

Cybersäkerheten handlar då om att upprätthålla affärsvärde. Dessutom ur flera olika perspektiv – den egna verksamhetens, kundens och myndigheternas.

"Måste tala samma språk"

Mångåriga säkerhetsprofilen Per Hellqvist, nybliven affärsområdeschef på säkerhetsföretaget 2Secure, håller med om beskrivningen.Enligt hans sätt att se det behöver säkerhet komma in som en naturlig del också i hela processen kring produktutveckling, både när det gäller appar och program och fysiska produkter.

– Sedan behöver säkerhetsfolket bli bättre på att vara goda kommunikatörer och att uttrycka sig pedagogiskt. Jag brukar säga att man måste prata ”företagiska”. Om du säger risk till styrelseordföranden tänker han på konkurrenter, krig i världen, lagstiftning och så vidare. Den it-säkerhetsansvarige talar istället om hackers och strömavbrott i datahallar. Man måste tala samma språk så att man förstår varandra. Ledningens bekymmer kanske är att minska risken mot verksamheten, men då gäller det att veta vilken risknivå det handlar om, säger Per Hellqvist.