Det store billede: It-sikkerhed som en proces

12. januar 2017

Januar er oftest præget af nytænkning og overvejelser om fremtiden: hvordan kan vi forbedre os, og hvilke nye udfordringer kan vi se frem til i det nye år? Det samme gælder FortConsult – og i 2017 har vi stor fokus på at hjælpe vores kunder med at genoverveje og innovere den måde, de tackler it-sikkerhedsmonstret på.

Den traditionelle tilgang til it-sikkerhed kan sammenlignes med et besøg på en restaurant: man nærlæser menuen med omhu og vælger det måltid (sikkerhedstest), der bedst passer til situationen. Desværre er processen i at beskytte virksomheden fra sikkerhedsbrud blevet langt mere kompliceret gennem årene, og der findes ingen hurtige løsninger, der beskytter fra en bred vifte af trusler.

Trusselslandskabet er hurtigt skiftende og antallet af trusler og angrebsvektorer er stadigt stigende – hvilket giver virksomheder såvel som offentlige institutioner en overvældende mængde af fokusområder inden for it-sikkerhed. Man kan ikke tackle dem alle på én gang – og FortConsult ønsker derfor at hjælpe vores kunder med at etablere en holistisk tilgang til it-sikkerhed. En helhedsorienteret tilgang til it-sikkerhed indebærer, at man kortlægger sine it-aktiver og infrastruktur, afstemmer prioriteringer og udvikler en handlingsplan – baseret på virksomhedens situation og de specifikke trusler, som man er oppe imod.

En case story

En kunde i den finansielle sektor havde problemer med at prioritere deres indsatsområder inden for it-sikkerhed og følte, at de havde for lidt indsigt i deres aktuelle sikkerhedsniveau. De havde brug for at udarbejde en proaktiv plan for deres videre arbejde med it-sikkerhed, som skulle være baseret på deres aktuelle niveau og behov. FortConsult og NCC Group blev inviteret til at foretage en cyber security review for at hjælpe kunden med at udvikle en handlingsplan.

Vi indledte opgaven med en undersøgelse af det aktuelle trusselslandskab, for at skabe et overblik over de trusler, som kunden stod overfor, samt hvilke typer af aktører kunne stå bag disse. Dette hjalp kunden med at forstå ikke blot generelle trusler mod den finansielle sektor, men også dem, der var rettet specifikt mod kunden.

Dernæst reviderede vi deres sikkerhedsprocesser og -politikker og procedurer. Derefter afviklede vi workshops med kunden, som var med til at tegne et billede af kundens aktuelle situation. Med udgangspunkt i dette fik vi, i selskab med både ledelsen og de tekniske teams, udarbejdet en handlingsplan og en prioriteringsliste.

Som følge af disse indledende stadier kunne vi komme videre til næste fase – hvor vi begyndte vores undersøgelser af den aktuelle sikkerhedssituation hos kunden. Dette indeholdte en kombination af interviews og tekniske reviews hos kunden, som inddrog forskellige kontorlokationer og eksterne medarbejdere. Som følge af denne proces fandt vi en række områder, der krævede opmærksomhed: f.eks. var processerne omkring leverandørstyringen og sikkerhed mangelfulde, mens flere af kundens medarbejdere havde daglig adgang til informationer og systemer, som de ellers ikke havde brug for i forbindelse med deres arbejde. På en mere overordnet plan fandt kunden ud af, at deres aktuelle sikkerhedsniveau ikke matchede deres antagelser – og at deres prioriteringer inden for it-sikkerhed har været uhensigtsmæssige.

I slutningen af opgaven var vi i stand til at udarbejde en handlingsplan i selskab med kunden, som både indeholdte quick-wins og mere langsigtede fokusområder. Planen indeholdte en kombination af tekniske, kommercielle og operationelle elementer og var vurderet til at være opnåelig for kunden – og således begyndte kundens arbejde med en væsentlig forbedring af deres sikkerhedsmodenhed.

Dette er blot et ud af mange eksempler, hvor denne tilgang udløste både en strukturel og en kulturel ændring i, hvordan vores kunder tackler it-sikkerhed. FortConsult og NCC Group gennemfører et stort antal cyber security reviews hvert år. Når vi udfører opfølgende reviews, ser vi markante forbedringer i it-sikkerheden og oplever, at alle fra bestyrelsen til it-afdelingen ved hvor de står og hvor de er på vej henne, og forstår deres trusselslandskab.

Lær mere om holistiske tilgange til sikkerhed til vores webinar

FortConsult holder et gratis webinar den 14. februar, hvor du kan lære mere om hvordan du udvikler en plan og prioriterer fokusområder indenfor it-sikkerhed. Læs mere om det og tilmeld dig her.

Address

FortConsult A/S
Svanevej 12
2400 Copenhagen NV
Denmark

Phone: +45 7020 7525
Email. info@fortconsult.net

PCI Certificates

Part of NCC Group