Hoppa till innehåll
NetNordic Sweden
sales.se@netnordic.com +46 8 555 068 00
Support Under attack?
01 apr, 2025
Cybersäkerhet Artiklar

Cybersäkerhet ur ett styrelse- och ledningsperspektiv

Bästa styrelseledamöter och ledning i offentliga och privata företag,

IT- och OT-säkerhet är en av de största utmaningarna vi står inför idag, både inom den offentliga och den privata sektorn. Som ledare har vi ett ansvar att förstå och hantera dessa risker. Med denna text vill jag ge en inblick i hur vi kan ta itu med de mest akuta utmaningarna – och se till att vi inte faller i de vanligaste fällorna. Vi måste komma bort från ”kryssa i rutan”-syndromet och fokusera på konkreta åtgärder – på vad och hur. Detta är ett ledarskapsansvar.

Min personliga erfarenhet

För några år sedan fick jag nästan panik när jag förstod den djupare nivån av hur exponerade vi var som företag och vilka dimensioner som måste hanteras i praktiken för att minska IT-säkerhetsexponeringen. Ur ett styrelse- och ledningsperspektiv måste IT-säkerheten omfatta tre huvudområden:

  • Förhindra avbrott i verksamheten.
  • Spara tid och sänk kostnader.
  • Förbättringar och efterlevnad.

Jag har en examen i företagsekonomi och har arbetat inom teknikbranschen i cirka 25 år. Med tiden har jag tagit klivet in i ledande roller och gradvis distanserat mig från detaljerna i takt med att tekniklandskapet utvecklas snabbt. Min panikartade insikt kom när vi gick in på marknaden med tjänster för att hantera kritisk infrastruktur åt kunder. Min rädsla berodde på att vi inte var tillräckligt djupgående eller specifika, vilket skulle kunna leda till framtida hinder på grund av externa hot som skadar eller lamslår vår infrastruktur – och därmed hindrar våra leveranser och kunder.

Det pratas mycket om säkerhet och regelefterlevnad. Mycket av det förblir dock ytligt eftersom vi inte riktigt förstår frågorna och ofta drar slutsatser på lösa grunder. Många lider också av ”kryssa i rutan”-syndromet, där verkligheten lämnar ett betydande gap mellan avsikt och praktik. Utmaningen att gå tillräckligt djupt är komplex, men nyckelfaktorer som kunskap, kapacitet, agendor, naivitet, kultur och riskaptit är centrala i ekvationen.

I det här sammanhanget fokuserar jag på kunskap och områden som ofta är underkommunicerade på ledarskapsnivå. Det finns en tendens att nöja sig med rubriker och buzzwords. För att komma bortom seminarie- och konferensformen måste vi bli konkreta i dessa frågor.

Ambition och förmåga att vara konkret

Det finns många missförstånd och begreppsförvirringar. Målet är inte att navigera i denna djungel utan att lyfta fram områden som ofta underskattas, där svagheterna är som störst – även i miljöer som fokuserar på säkerhet och tar ämnet på allvar. Diskussioner leder sällan till rätt resultat om de förs i binära termer. Alla förstår att det finns nyanser, men ibland måste vi förenkla för att få igång diskussioner och kanske till och med friktion.

Låt oss höja ambitionen för IT-säkerhet. På en skala från 0 till 10 är en poäng på 7 inte tillräckligt bra. Uppfattningen att det är oöverkomligt dyrt att nå 9 måste utmanas – även om det till stor del är sant om ett företag tror att det kan hantera hela spektrumet på egen hand utan extern hjälp.

Om vi är överens om ambitionsnivån finns det några områden där svagheterna framträder tydligare när vi går bortom det grundläggande och självklara. Utan någon särskild ordning:

  • 1 Kapitalförvaltning

Detta inkluderar all hårdvara och mjukvara som är ansluten till infrastrukturen. Utmaningarna innefattar bland annat att upprätthålla en heltäckande översikt, hantera versioner/uppgraderingar, användning och konfigurationer. Om man utgår från att en kedja inte är starkare än sin svagaste länk, innebär det en betydande risk att inte ha kontroll över de enheter som är anslutna till infrastrukturen. Ofta ligger de största riskerna i de mer perifera områdena.

  • 2. Fortlöpande underrättelser om hot

Övervakning av hot och avvikelser samt förståelse för nödvändiga åtgärder baserat på insamlad information. Med tanke på komplexiteten i den moderna hotbilden – där hoten kan komma från okända motståndare – är det naivt att tro att detta kan hanteras på egen hand.

  • 3. Operativ teknik (OT)

Fokus ligger vanligtvis på IT, men sårbarheter kan vara mer uttalade i områden som inte traditionellt klassificeras som IT. OT-miljöer består ofta av en djungel av enheter som är en del av den digitala infrastrukturen, vilket skapar en underkommunicerad sårbarhet. Myndigheterna försöker reglera detta genom ramverk som NIS2, men enbart regleringar löser inte de praktiska utmaningarna. Det handlar om tickande säkerhetsbomber som är kopplade till företagens infrastruktur och som ofta tar sig in via så kallade bakdörrar.

  • 4. Övervakning av den mörka webben

Det finns en betydande aktivitet på en grå marknad som utnyttjar kommersiella möjligheter långt bortom de grundläggande värderingar som vi upprätthåller i västvärlden. Denna marknad är inte geografiskt avgränsad. Genom att proaktivt övervaka dessa aktiviteter kan riskerna minskas avsevärt.

  • 5. Larmhantering

IT-avdelningar bombarderas med en överväldigande mängd varningar. Utan aktiv systematisering blir svaren slumpmässiga och sofistikerade hot kan slinka igenom. Den tid som krävs för att få en överblick kan visa sig vara ödesdiger.

  • 6. Molnsäkerhet

För att balansera kostnader, effektivitet och kapacitet använder de flesta företag en kombination av molntjänster och interna strukturer. Denna hybridmodell medför ytterligare säkerhetsutmaningar och attackytor som är lätta att underskatta.

  • Efterlevnad

Riskrapporteringen ska vara strukturerad i ett format som fungerar som ett effektivt ledningsverktyg och möjliggör effektiv hantering av regelverkskrav, dokumentation, analys och snabb respons på incidenter. Styrelsen har ett ansvar men saknar ofta direkt kontroll.

Det är möjligt att göra betydande framsteg – kunskap och vilja

Har min första panik lagt sig? Ja, det har den. Ingen kan ge absoluta garantier, men genom att säkra de yttersta delarna av värdekedjan hanterar vi risken för både oss och våra kunder. Vi tar emot ungefär 1,5 miljoner händelser per sekund från våra kunder. Källorna är många. Samspelet mellan teknik, människor och processer är avgörande för att garantera säkerheten och upprätthålla integriteten hos kritisk infrastruktur. Ett systematiskt och holistiskt angreppssätt är avgörande för framgång.

Vi lever i en komplex värld där säkerhetshoten blir allt mer omfattande. Som samhälle kan ingen enskild enhet göra allt, men alla kan bidra till att förbättra det övergripande säkerhetslandskapet.

Som organisation – oavsett om det är inom den offentliga eller privata sektorn – fokuserar vi på affärsutveckling, att genomföra strategier och att uppnå våra mål. Vi vill undvika att missa möjligheter, och IT-säkerhet utgör ett betydande hot mot våra ambitioner. För att motverka detta behöver vi en säkerhetsstrategi som är heltäckande och robust.

Har du några få soldater, en pluton eller en hel försvarsstyrka? De verkliga hoten ligger i detaljerna. ”Good enough” bör vara ett medvetet beslut, och vi får inte underskatta styrkan i element som historiskt sett har betraktats som mindre viktiga. Att förstå detaljerna och veta var man ska lägga extra fokus har varit min prioritet i den här diskussionen. Det börjar med ambition och slutar med ledarskap.

Författare

Jarl Øverby

Koncernchef, NetNordic Group

Kontakta oss

Ring oss gärna direkt på vårt telefonnummer +46 8 555 068 00, skicka oss ett mail sales.se@netnordic.com, eller fyll i formuläret så återkommer vi till dig som snart som möjligt! Tack!

Senaste innehållet

NetTalk: NaaS and SNS Secrets Revealed
Nätverk
Webinar
mar 27, 2025

NetTalk: NaaS and SNS Secrets Revealed

Läs mer Förändra IT-avdelningens nätverksarbete med AI
Nätverk
Webinar
mar 25, 2025

Förändra IT-avdelningens nätverksarbete med AI

Läs mer DLP – Data Doesn’t Lose Itself
Cybersäkerhet
Webinar
mar 12, 2025

DLP – Data Doesn’t Lose Itself

Läs mer

VÃ¥rt nyhetsbrev

FÃ¥ de allra senaste nyheterna och uppdateringarna direkt till din inkorg.