close
Share with your friends

Topplederens 8 sjekkpunkter for cybersikkerhet

Topplederens 8 sjekkpunkter for cybersikkerhet

En av Norges fremste sikkerhetssjefer gir ledere og styremedlemmer åtte konkrete råd for hvordan virksomheten kan jobbe med informasjonssikkerhet og cyberangrep.

1000

Kontaktperson

Hans Christian Pretorius

Partner

KPMG i Norge

E-post

Relatert innhold

Samvirkelagene som til sammen utgjør Coop har over tusen butikker. Med personopplysninger til mer enn halvannen million medlemmer, er GDPR og informasjonssikkerhet dagligvare i konsernet.

Soner Sevin er sikkerhetssjefen, og i fjor ble Coop tildelt Fidusprisen av Datatilsynet, Næringslivets Sikkerhetsråd (NSR) og Norsk Senter for informasjonssikring (NorSIS). KPMG har spurt Soner om hvilke råd han vil gi til toppledere som ønsker å ta bedre grep om selskapets cybersikkerhet. Vi deler hans åtte punkter for hva en toppleder bør snakke med sin sikkerhetssjef om:

Soner Sevin, sikkerhetssjef i Coop

Soner Sevin er sikkerhetssjef i Coop, og gir råd til ledere som ønsker å ta bedre grep om cybersikkerhet.

1. Tenk på den trebeinte Ikea-krakken

En helhetlig tilnærming til informasjonssikkerhet inneholder tre elementer som alle må være på plass samtidig, slik den trebeinte Ikea-krakken som ikke kan stå om du tar bort det ene beinet. De tre beina er teknologi, prosesser og mennesker. Mange tror dessverre at teknologi er informasjonssikkerhet nok, men dere må også jobbe med prosessene og menneskene i selskapet. Med prosessene mener jeg kortfattet:

  • Verdivurdering: Ha en god oversikt over verdiene i virksomheten din.
  • Risikostyring: Hvis du skal bruke ressursene dine på en effektiv måte, må du vite hvilke risikoer virksomheten din er utsatt for og prioritere tiltakene basert på risikovurderingen og risikoappetitten.
  • Styringssystem for informasjonssikkerhet (policyer, retningslinjer, osv.): Mørketallsundersøkelsen 2018 viser at virksomheter som har etablert styringssystem for informasjonssikkerhet er mye bedre forberedt til å håndtere sikkerhetsutfordringer enn de som ikke har etablert dette.
  • Internkontroll (Internal Audit): Å måle etterlevelsen av styringssystemets krav gjennom internrevisjon er en viktig aktivitet for fornuftig sikkerhetsstyring.
  • Beredskapsplaner: Vær forberedt, det kommer til å skje med din virksomhet også!
  • Gode beredskapsplaner og å øve på disse er viktig. Gjør dette før du opplever en sikkerhetshendelse.
  • Bevisstgjøring (Awareness-program): Bevisstgjøring av egne ansatte er noe virksomheter bør gjøre kontinuerlig.

2. Skaff og bruk din egen «E-sjef»

Trusseletterretning er viktig. Fienden forsøker alltid å være i forkant, og utvikler utspekulerte metoder for å utnytte potensielle sårbarheter. Derfor er det alltid viktig å holde seg orientert om trusselbildet. Det er sikkerhetssjefens ansvar å holde seg oppdatert på aktuelle trusler og utviklingstrekk innen informasjonssikkerhet. Vedkommende bør også være i stand til å gi deg en kortfattet og lett forståelig fremstilling av det mest relevante, og hvordan akkurat din organisasjon kan bli påvirket.

Be om jevnlig briefing, og forvent at sikkerhetssjefen er i forkant av hendelsene. Og vær tilgjengelig: Når sikkerhetssjefen ringer, da svarer du nesten uansett tid og sted.

3. Ikke konkurrer på sikkerhet

Cyberangrep har mange generiske likhetstrekk, og du vet aldri om det er dere eller konkurrentene som angripes neste gang. Derfor skal du forvente at din sikkerhetsansvarlige samarbeider med sikkerhetsansvarlige både innenfor og utenfor bransjen. I slike nettverk deles viktig etterretning og kunnskap som kan bli helt avgjørende for hvordan dere håndterer den neste utfordringen. Dette er digitalt samfunnsansvar.

4. Vær forberedt på "krig"

Informasjonssikkerhet begynner med forebygging. I Coop bruker vi mesteparten av kreftene på forebyggende arbeid. Alle kommer til å oppleve en eller annen type sikkerhetshendelse før eller senere, og da er det viktig å være forberedt. Husk at virksomheter blir ikke husket for kriser, men hvordan de håndterte krisen!

5. Bygg tillit gjennom åpenhet

Dette er blitt en grunnsetning innenfor kommunikasjon og krisehåndtering. Det er absolutt ingen grunn til å gjøre noe unntak for uønskede hendelser innenfor cyber. Digitale angrep involverer svært ofte jakt på, og tyveri av, sensitive personopplysninger. Ta tidlig initiativet til kontakt med de berørte, med myndighetene og med media. Fortell hva som har skjedd, hvordan det var mulig og hva dere gjør nå.

6. Hold underleverandørene i ørene!

De siste årene har de fleste store norske virksomheter i både privat og offentlig sektor blitt gode på informasjonssikkerhet, i hvert fall i eget hus. Vi har ikke kommet like langt når det gjelder kontroll med underleverandører og partnere, som det blir stadig flere av etter hvert som oppgaver outsources. Disse tredjepartene er gjerne små, og har ofte lav bevissthet og innsats innenfor informasjonssikkerhet. Og ikke nok med det, de store selskapene har ofte mangelfull forståelse for hvordan den digitale kommunikasjonen med disse underleverandørene påvirker den totale informasjonssikkerheten.

USAs kanskje største tyveri av kredittkortopplysninger noensinne oppsto fordi supermarkedkjeden Target hadde en mindre underleverandør som ble angrepet. Og mens Target selv på mange måter var verdensledende på sikkerhet, innebar kommunikasjonen med underleverandøren at angriperen kunne komme beskyttet inn i Targets systemer og jobbe uforstyrret i flere måneder.

Vi har mange underleverandører i Coop. Vi stiller krav til dem og – ikke minst – vi sjekker at de faktisk etterlever disse. Det bør alle gjøre!

7. Skap trygge rammer for mobilitet

For de fleste av oss er den mobile arbeidsplassen her allerede, og vi kommer bare til å bli mer fleksible på arbeidssted og arbeidstid i årene som kommer. En toppleder må spørre sikkerhetssjefen hvordan medarbeidernes bruk av PC, nettbrett og mobiltelefoner på fritiden påvirker selskapets sikkerhet når de kommer tilbake på jobb. Dette kan handle om noe så konkret som at linker man har trykket på hjemme, medfører at medarbeideren tar med seg problemet inn i virksomheten.

8. Skyen løser ikke alle problemer

Skytjenester er som regel en forutsetning for selskapets mest spennende digitaliseringsprosjekter. Og skyen er ofte en snarvei for økt sikkerhet hos mindre underleverandører. Men ikke alle skyer er skapt like; det er forskjell på hvor sikre de ulike skytjenestene er, ikke minst knyttet til back-up. Det er opp til din bedrift å orientere dere om skytjenesten leverer samme trygghet som «on-premise»-løsningene.

© 2021 KPMG AS and KPMG Law Advokatfirma AS, Norwegian limited liability companies and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.

 

For more detail about the structure of the KPMG global organization please visit https://home.kpmg/governance.

Ta kontakt

 

Ønsker du tjenester fra KPMG?

 

loading image Be om tilbud

Min informasjon

I KPMGs bibliotek kan du lagre, samle og dele innhold som engasjerer deg.

Sign up today