Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 18. januar 2022 | Emne: Sikkerhed 
Organisationer kan risikere at blive udsat for cyberangreb på grund af en betydelig kløft mellem synspunkterne fra deres egne sikkerhedseksperter og bestyrelseslokalet.
World Economic Forums nye rapport, The Global Cybersecurity Outlook 2022, advarer om, at der er store uoverensstemmelser mellem chefer og informationssikkerhedspersonale, når det kommer til tilstanden af cyberresiliens i organisationer.
Ifølge papiret, 92 % af de adspurgte virksomhedsledere er enige om, at cyberresiliens er integreret i virksomhedens risikostyringsstrategier – eller med andre ord at beskytte organisationen mod at blive ofre for et cyberangreb eller afbøde hændelsen, så den ikke resulterer i væsentlige forstyrrelser.
SE: En vindende strategi for cybersikkerhed(ZDNet-særrapport)
Men kun 55 % af sikkerhedsfokuserede ledere mener, at cyberresiliens er integreret i risikostyringsstrategier – hvilket indikerer en betydelig forskel i holdninger til cybersikkerhed.
Denne kløft kan efterlade organisationer sårbare over for cyberangreb, fordi bestyrelseslokaler mener, at der er gjort nok for at afbøde trusler, mens der i virkeligheden kan være uovervejede sårbarheder eller ekstra foranstaltninger sat i værk.
En af grundene til, at dette cybersikkerhedsgab eksisterer, er, at informationssikkerhedschefer (CISO'er) og andet cybersikkerhedspersonale ofte føler, at de ikke bliver hørt. Det hul betyder, at sikkerheden nogle gange ofres i effektivitetens eller omkostningernes navn, hvilket kan have alvorlige konsekvenser senere hen.
Tag for eksempel udfordringen med ransomware – noget som WEF-rapporten tyder på, at 80 % af cybersikkerhedsledere klassificeres som en “fare” og “trussel” mod den offentlige sikkerhed, ikke kun for deres egne organisationer.
Mange ransomware-angreb er vellykkede, fordi cyberkriminelle er i stand til at udnytte sårbarheder i netværk, der kunne være blevet uskadeliggjort, hvis standardsikkerhedsanbefalinger blev fulgt – for eksempel ved at anvende to-faktor-godkendelse, have sikkerhedskopier på plads eller anvende cybersikkerhedsopdateringer.
Virksomheder kan dog være tilbageholdende med at bruge penge på disse områder eller det personale, der kræves for at sikre, at de bliver udrullet korrekt, idet de ser det som en omkostning i stedet for en investering, der vil forhindre, at der skal bruges yderligere penge længere nede.
Det er ofte sådan, at det først er, når en virksomhed bliver offer for et cyberangreb, at bestyrelseslokalet for alvor begynder at være opmærksom på cybersikkerhed.
“Den bedste og mest robuste virksomhed er den, der allerede er blevet brudt,” siger Algirde Pipikaite, leder af cybersikkerhedsstrategi ved World Economic Forum, til ZDNet. “Fordi de faktisk forstår vigtigheden af at forhindre et brud, eller – hvis de bliver brudt – en hurtig genopretning.”
Men at vente på at blive brudt, for at bestyrelseslokalet kan være opmærksom på cybersikkerhed, er ikke en realistisk eller ønskværdig mulighed. Og der er muligheder, som de ansvarlige for cybersikkerhed kan tage for at hjælpe med at øge deres virksomheds cyberresiliens.
En af disse muligheder er at sikre, at cybersikkerhedsspørgsmål kan bringes til bestyrelsen i almindeligt sprog. Nogle gange kan den tekniske karakter af nogle elementer af cybersikkerhed være overvældende for folk, der ikke beskæftiger sig med det dag ud og dag ind. Forklaring af sikkerhedstrusler og -problemer i et almindeligt sprog kan være en god måde at lukke grænsen mellem bestyrelsen og sikkerhedsteamet.
Men det er også vigtigt, at cybersikkerhedsteams også er opmærksomme på, hvordan virksomheden fungerer, hvilke operationer er vigtigst, og hvilke aktiver der skal prioriteres – og en løbende dialog med ledere er nøglen til et succesfuldt partnerskab.
SE: Din træning i cybersikkerhed skal forbedres, fordi hackingangreb kun bliver værre
En måde at få begge hold sammen og tilskynde til denne form for dialog kunne være brugen af bordøvelser til at øve cyberhændelser respons. Dette kan øge bevidstheden om potentielle problemer for både forretnings- og sikkerhedsteams, hvilket gør det muligt for begge at føle sig inkluderet i beslutningsprocessen.
Der er også de praktiske fordele ved, at organisationen lærer, hvordan den vil reagere på et ransomware-angreb eller en anden cyberhændelse, så i tilfælde af en reel hændelse er der en plan på plads, som kan følges.
“Den bedste måde at bringe disse to fællesskaber sammen på er at køre en bordøvelse, have din hændelsesresponsplan og køre den i praksis,” sagde Pipikaite.
“Det værste er, hvis du bliver angrebet og det er første gang, du rent faktisk prøver at løse en situation, mens du prøver at forstå den,” tilføjede hun.
MERE OM CYBERSIKKERHED
Udgifter til cybersikkerhed er en kamp: Sådan vinder duBestyrelser tager stadig ikke cybersikkerhed seriøst, advarer ny NCSC-chef. Det betyder, at alle er i fareDenne ene ændring kan beskytte dine systemer mod angreb. Så hvorfor gør flere virksomheder det ikke?Cybersikkerhedsjob: Det er det, vi går galt med, når vi ansætter – og her er, hvordan du løser detAlle er udbrændt. Det er ved at blive et sikkerhedsmareridt Security TV | Datastyring | CXO | Datacentre