Cybersäkerhetsbudgeten bör avgöra systemens komplexitet
Organisationers enskilt största cybersäkerhetsrisk är att verksamhetsledningen inte tillräckligt aktivt försäkrar sig om att de som har fått ansvaret att etablera och upprätthålla informationssäkerheten i de egna systemen har tillräcklig kompetens och resurser för att förebygga, upptäcka och hantera attacker. Det menar Dag Ströman, senior cybersäkerhetsrådgivare på FMV.
– De största cybersäkerhetshoten för myndigheter och företag är att angripare, allt från enskilda hackare till statsaktörer, nyttjar tekniska sårbarheter eller lyckas lura medarbetare så att de vinner tillträde till it-systemen. Det externa attackhotet är ständigt närvarande, säger Dag Ströman.
Ställ kontinuerliga kontrollfrågor
– Risken finns att ledningen inte säkerställer att verksamheten har tillräckligt med kompetens och resurser. Det är också en risk att ledningen inte försäkrar sig om att den egna organisationen arbetar tillräckligt aktivt och kontinuerligt vidtar alla de myriader av åtgärder som är nödvändiga för att de frekventa angrepp som organisationen utsätts för inte får oacceptabla följder, säger Dag Ströman.
Verksamhetsledningen bör minst två gånger om året ställa kontrollfrågor kring vilken kompetens som krävs för att analysera hur utsatta organisationens system är för tillfället, gärna med stöd från externa oberoende experter. Därefter bör ledningen säkerställa att sådan kompetens finns att tillgå. Annars är risken överhängande att cybersäkerhetshoten inte upptäcks i tid och att konsekvenserna av framgångsrika attacker blir större än ledningen är redo att acceptera.
”Systemen är ofta alltför komplexa och omfattande i förhållande till de tillgängliga cybersäkerhetsresurserna.”
Riskfylld obalans
Att öka produktionsförmågan eller tillhandahålla nya produkter och tjänster är ofta utgångspunkten när ett nytt it-system designas. Verksamhetens ekonomi och ledningens önskan om hög produktivitet och effektivitet driver på komplexiteten och mängden uppkopplingar i systemen.
– När systemet eller lösningen är färdigutvecklad hoppas man att cybersäkerhetsorganisationen har tillräcklig kompetens och personal för att skydda systemen och utbilda användarna. Men systemen är ofta alltför komplexa och omfattande i förhållande till de tillgängliga cybersäkerhetsresurserna. Detta skapar en riskfylld obalans, säger Dag Ströman.
Avgöra systemens komplexitet
Hans råd för förbättrat skydd och ökad säkerhet är att dimensionera cybersäkerhetsorganisationen utifrån komplexiteten i systemen och att inte skapa fler komplexa systemlösningar än vad den egna säkerhetsorganisationen klarar av att förstå och riskhantera.
– Det bör vara cybersäkerhetsbudgeten som avgör systemens komplexitet. Säkerhetsorganisationen bör involveras betydligt tidigare i utvecklingskedjan och designen av systemet bör beakta vilka resurser organisationen faktiskt är villig att avsätta till säkerhetsarbetet. Samtidigt bör organisationer inte nöja sig med att uppfylla lagkraven. Oftast ställer den egna verksamheten högre krav än så, säger Dag Ströman.
Hur väl skyddade mot cyberattacker anser du att statliga myndigheter är?
Om undersökningen:
Undersökningen genomfördes av Framtidens Karriär – It & Data 21–28 november 2024 mot ett slumpmässigt urval av de som tagit examen på teknisk högskola eller universitet inom datateknik, teknisk fysik, elektroteknik eller systemvetenskap. Statistisk felmarginal 2,5–4 procentenheter.
