BUSINESS BYTES

Hur kan IT-chefer hitta rätt balans mellan att minska säkerhetskostnader och acceptera risker?

  • Postad 1 år sedan
  • 3 minuters läsning

Enligt Gartners senaste rapport över IT-chefers affärsplaner håller de investeringsbeslut som fattas av IT-ansvariga på att förändras. På senare tid har säkerhet fått stå undan till förmån för analysmetoder, affärsinformation, molninfrastruktur och mobila lösningar. Vid en första anblick är detta förståeligt – det är betydligt mer logiskt för företag att investera i områden som ger dem hög eller omedelbar avkastning. Informationssäkerhet har aldrig varit ett sådant område. Inför utblicken att spendera mer på traditionella skyddstekniker såsom brandväggar, säkerhetsverktyg för e-post och webbfiltrering skyggar många lätt tillbaka och väljer att betrakta säkerhet som en investering som kan sparas in, snarare än något som gör påtaglig nytta.

Emellertid behöver detta inte nödvändigtvis vara ett dåligt förhållningssätt till digitala hot. Precis som Gartners siffror visar har många IT-chefer redan insett att en mer balanserad syn på säkerhet kan visa sig vara mer effektivt för att hantera risker på lång sikt. I praktiken är det en tydligare förståelse av digitala säkerhetsrisker och vad de egentligen betyder för företaget som ligger till grund för det här synsättet.

Säkerhetspersonal bör ha som mål att underlätta affärsverksamheten, delta i beslutsfattandet från första början och sträva efter att skydda de viktigaste tillgångarna både före och efter säkerhetsöverträdelser. Informationssäkerhetsrisker bör dock betraktas som hanterbara och inte som ett större problem än andra typer av affärsrisker. För effektiv hantering av säkerhetsrisker måste man med andra ord acceptera att vissa risker alltid kommer att finnas och att vissa överträdelser alltid kommer att ske, så alla företag bör ha en strategi för att ta itu med dessa när de väl inträffar. Nu för tiden fokuserar många IT-chefer på kunskap om olika hot istället för att försöka minska antalet hot.

Det första steget mot effektiv riskhantering är att förstå riskerna. Därför bör den första åtgärden vara att identifiera omedelbara risker för företaget och informera styrelsen och andra överordnade om vilka hoten är, samt vad de kan innebära. Det är allas ansvar att hantera risker på ett effektivt sätt. Dataintrång kan leda till enorma ekonomiska förluster och skada företagets anseende, så alla högre chefer och avdelningschefer måste vara införstådda med de potentiella kostnaderna i händelse av ett läckage och vilka åtgärder som i så fall bör vidtas.

Vissa organisationer använder sig av övningar i krishantering för att utbilda personalen. På så sätt avslöjas brister i systemet, men det kan också bidra till att teamen känner sig bättre förberedda på eventuella överträdelser.

Det andra steget är att förstå att riskhanteringen inte upphör i och med att åtgärderna vid eventuella överträdelser har fastslagits. I takt med att de digitala hoten växer sig starkare bör hanteringen av dem och tillhörande riktlinjer göra detsamma. Högre chefer bör ta ledningen i att ändra riskhanteringsstrategin, men alla i organisationen ska ges möjlighet att bidra med förslag och hjälpa företaget att utarbeta bästa möjliga svarsmekanismer. Företagets övergripande affärsstrategi kan dock ändras snabbt och när verksamheten etablerar sig på nya marknader kan nya ekonomiska och IT-relaterade risker uppstå. Användning av digital teknik, såsom sociala medier och moln, kan också påverka situationen. Riskhanteringsstrategin måste anpassas till företagets strävan efter tillväxt.

Tänk också på att riskbenägenheten kan variera kraftigt mellan olika affärsenheter. Av den anledningen måste det finnas utrymme för att godta en viss grad av risk, så att organisationens förhållningssätt förblir enhetligt. Den krassa verkligheten är att säkerhetsöverträdelser faktiskt sker, och det är lika viktigt att försöka förhindra dem som att ha en överenskommen metod för att ta itu med dem när de väl inträffar. För detta krävs en förståelse av vad effektiv riskhantering innebär.  Riskhantering bör vara en del av ett övergripande system för att bedöma riskbenägenheten, tillämpa principer för riskhantering och slutligen hjälpa företaget att förstå att en risk som förverkligas inte är ett misslyckande utan snarare en bekräftelse på att den överenskomna processen fungerar.