- IT-sikkerhet er et ledelsesansvar

• Altfor mange ledere stoler for mye på IT-avdelingen eller innleide leverandører når det kommer til IT-sikkerhet. Dagens trusselbilde krever ledere som tar ansvar og tenker helhetlig rundt IT-sikkerhet, sier sikkerhetsekspert Hans Lie.

Hans Lie er en del av rådgivningsteamet i IT-sikkerhetsselskapet Netsecurity. Jobben hans består i å gi kunder råd om sikkerhetsstyring og ledelse, samt opplæring av leder og ansatte.  

Utfordringen i mange virksomheter er ifølge Lie at ledelsen stoler for mye på at IT-avdelingen håndterer alle slags trusler: 

• I en verden hvor trusselbildet blir mer og mer komplekst, og det ofte er den enkelte medarbeider som er målet til de som angriper, er det å få med alle menneskene i bedriften blitt en helt sentral del av sikkerhetsarbeidet. Da holder det ikke å lene seg på IT-avdelingen.

Å ikke jobbe forebyggende med it-sikkerhet kan bli veldig dyrt 

Når sikkerhetsstrategien ikke er tydelig fra ledelsen og ned i organisasjonen, er det fare for at ansvaret pulveriseres. Ifølge Lie er det urovekkende lite oversikt blant norske ledere over risikoen forbundet med sikkerhetsbrudd.  

• Jeg stiller alltid spørsmål om ledelsen har oversikt over informasjonsverdien de sitter på. Overraskende mange mangler denne totalt. Da skjønner de heller ikke hvilken risiko de løper ved å ikke jobbe strategisk med IT-sikkerhet. 

Resultatet blir at IT-sikkerhet bare er en av mange utgiftsposter. Lie forklarer at ved å hjelpe ledelsen med å se sammenhengene mellom “den daglig butikken i bedriften” og IT-sikkerhet, blir de straks mer interesserte

• Jeg pleier å si at den som synes beredskap er kostbart, burde prøve seg på en krise. De fleste aner ikke hvor dyrt det er å bli utsatt for et dataangrep. Men vi ser stadig flere eksempler på beløp opp i 100-millioners klassen. 

Tilpasset opplæring fører til compliance

Det å lære opp mennesker er alltid en utfordring. Den teknologiske kompetansen i en bedrift vil variere, fra newbies til teknisk svært kompetente medarbeidere. 

Når Hans Lie holder kurs, er kartlegging av målgruppene noe som står høyt på prioriteringslista. Det er viktig å forberede seg godt, sånn at man har noe som når alle nivåene av kunnskap.

• Sentralt i god informasjonssikkerhet står brukeropplæring – du må få  alle med på laget. Hverdagen bringer stadig nye trusler og tekniske krav. Mange opplever at kravene til it-sikkerhet er frustrerende å forholde seg til og hindrer oss i å gjøre jobben vår på en kjapp og enkel måte. Det er vår jobb å unngå denne følelsen, forklarer Lie. 

Mange bare opptatt av å tilfredsstille revisor

På spørsmål om hva som motiverer rådgiveren i jobben, trekker han blant annet frem utfordringen med å nå frem til hvert enkelt menneske og bidra til forståelse og endring: 

• Det er så store forskjeller på kompetanse og forståelse hos kundene. Noen kan en del, andre er helt blanke. Jeg jobber derfor mye med å forstå hvor kunden er i sikkerhetsforståelsen sin, og hvordan jeg kan utforme et budskap som treffer dem slik at de faktisk forstår. 

En utfordring Lie ofte ser, er at bedrifter planlegger sikkerhetsarbeidet ut fra revisorens krav, og ikke bedriftens behov eller trusselbildet i samfunnet. Dette er ingen god strategi.

• Vi vil jo at folk skal få sikkerhetstankegangen og -arbeidet inn som en del av hverdagen sin. Det er derfor sikkerhet er en ledelsesoppgave, for det er ledernes ansvar både å forstå og iverksette dette arbeidet, avslutter den erfarne sikkerhetsrådgiveren.

Om Hans Lie 

Lie har jobbet i Netsecurity siden mai 2021 og er ansatt som Seniorrådgiver Informasjonssikkerhet i Stavanger. 

Han er ingeniørutdannet, og har også jobbet med ITIL asset management (Information Technology Infrastructure Library).

Har tidligere jobbet som IT-rådgiver på Universitetet i Stavanger, med virksomhetskritiske systemer i Hewlett-Packard og jobbet som driftssjef for skytjeneste med dokument samhandling for globale kunder i Xait.