Fokusér sikkerhedsarbejdet og undgå at jage spøgelser

Af Orange Cyberdefense | Udgivet på Computerworld d. 24. april 2020

”Mange virksomheder tager reelt mere udgangspunkt i teknik end i det faktiske trusselsbillede, når de opbygger en IT-sikkerhedsstruktur,” siger Henrik Lei, CTO for Orange Cyberdefense.

”Kulturel forankring og forståelse og tung erfaring med det konkrete arbejde er begge forudsætninger for et effektivt sikkerhedsarbejde. Tager man ikke det i betragtning, så vil dialogen blive tung og ineffektiv, og man kommer til at bruge en masse tid på at jage spøgelser. Hvilket skaber støj og kan gøre ondt værre, når cyberangrebet rammer,” konstaterer han.

Tung koncernerfaring fra kundesiden

Henrik Lei blev ansat i sin nye stilling omtrent samtidig med, at den globale udbyder af Managed Security Services – Orange Cyberdefence – for nylig overtog nordisk baserede SecureLink.

Sidstnævnte kender han fra kundesiden gennem mere end 15 år indenfor cybersikkerhed, blandt andet som tidligere CISO i hhv. VELUX og LEGO. Her erfarede Henrik Lei, hvor komplekse og mangeartede udfordringer man står overfor, når man skal håndtere cybersikkerhed på koncernniveau.

”I disse år beslutter mange større organisationer at bygge deres egen SOC (Security Operations Center). Men man erkender først undervejs, hvor store krav det stiller til både projektfasen, til den efterfølgende drift og til de meget specialiserede interne ressourcer og erfaringer, man skal kunne trække på.”

”Det kan lade sig gøre at bygge en SOC fra bunden. Men det er kostbart, det er besværligt og det er sjældent den optimale løsning. I bund og grund er man ofte bedst tjent med at konstatere, at IT-sikkerhed ikke er virksomhedens core business – og handle derefter,” vurderer han.

Hellere skyde med riffel end med spredehagl

I stedet vil det ofte give mening at entrere med en Managed Security Services-partner, der kan trækkepå erfaring fra allerede etablerede kunder og har størrelsen til at udnytte synergier. Det gør virksomheden mindre afhængig af sparsomme og kostbare enkeltressourcer og gør det lettere at øge fokus på de elementer i trusselsbilledet, der er særligt relevante. Hvad enten det så er industrispionage, kompromittering af kritiske data, ransomware eller noget helt fjerde.

”Hellere satse på at lægge præcis de løsningselementer og services oven på en given teknologistack, som løser virksomhedens udfordringer, end at tage udgangspunkt i valget af en bestemt teknologi i sig selv. Det er mere effektivt end at etablere en løsning, der i princippet kan håndtere alle potentielle trusler, hvoraf mange måske slet ikke er relevante for din virksomhed. Du rammer – populært sagt – mere præcist med riffel end med haglbøsse,” siger Henrik Lei.

Tænk globalt, vælg lokalt

Når man vælger løsningsleverandør, er det også hensigtsmæssigt at tage udgangspunkt i, at leverandøren kan trække på både globale ressourcer og yde lokalt funderet bistand.

”Der er mange sikkerhedsleverandører, der er teknisk velfunderede, erfarne og som har et globalt netværk af sikkerhedsressourcer og knudepunkter at trække på 24/7. Det har vi også hos Orange Cyberdefence. Men noget af det, vi også lægger vægt på, er en lokal kritisk masse, så vi kan trække på viden fra et meget stort antal nordiske virksomheder. Samtidig betjenes kunderne af lokale sikkerhedsspecialister,” tilføjer Henrik Lei

Det er væsentligt, da det giver en bedre og mere effektiv dialog – på både det strategiske og lavpraktiske niveau – når alle fra løsningsspecialister til den enkelte first level-support medarbejder intuitivt forstår kultur og beslutningsgange hos de virksomheder, de skal hjælpe.

”I Norden lægger vi som bekendt stor vægt på både selvstændighed og samarbejde. Det er indpodet os helt fra de tidligere uddannelsesår. Men det er et særkende, der kan være svært at sætte sig ind i, hvis man kommer fra top-down-baserede kulturer som f.eks. Indien eller USA. Derfor taler man – også kulturelt – samme sprog som kunderne og kan i fællesskab hurtigere vurdere, hvad der er relevant at bruge kræfter på. Om eksempelvis bestemte handlingsmønstre eller transaktioner er mistænkelige eller sandsynligvis uskadelige,” forklarer Henrik Lei.

Langsigtet sikkerhedsledelse øger modstandsdygtigheden

Henrik Lei bemærker desuden, at der mange steder er behov for at gentænke virksomhedernes sikkerhedsledelse med henblik på at kunne håndtere både aktuelle og fremtidige udfordringer.

”I forbavsende mange organisationer er IT-sikkerhedsarbejdet stadig forankret dybt i IT-organisationen. Man risikerer at IT-sikkerhed ikke har en reel stemme og kan danne modvægt når forretningen har lidt for travlt med at skære hjørner. Det kan straffe på sigt, fordi man ikke får helheden med,” siger Henrik Lei.

For hvor der ofte er tendens til at gøre den dygtigste tekniker til sikkerhedsansvarlig, så er der mindst lige så stort behov for at forstå forretningen og de processer, hvor sikkerhedsarbejdet skal indgå – og om at være i stand til at lede med blik på fremtiden.

”Jeg er stor fortaler for at fokusere på at få god ledelse ind i sikkerhedsarbejdet. Her er vi som branche inde i en modningsfase, hvor vi måske skal være bedre til at fremhæve behovet for ledere, som kan arbejde mere langsigtet og helhedsorienteret med organisationen. For sikkerhed skal ikke bare være en skal eller en add-on, om du vil, men skal indbygges som et uomgængeligt element i forretningens kerne. Det giver langt større og mere langsigtet robusthed mod sikkerhedstrusler, og dén dialog vil jeg rigtig gerne være med til at vil tage med vores kunder,” bemærker han.