Fagblogg | NetSecurity

Slik bør virksomheten jobbe for å oppfylle krav til cybersikkerhet

Skrevet av Tor Vigesdal | 22. juni 2020 08:58:34 Z

Som ansvarlig for IT- og cybersikkerhet er du godt kjent med de eksisterende kravene som stilles til IT når det gjelder cybersikkerhet. Det skal også være mulig å gjøre raske tilpasninger og møte de behov og situasjoner som oppstår. 

Selv om dette kan virke innlysende for oss som jobber med disse temaene og problemstillingene til daglig, er det ikke alltid like enkelt å implementere i hele virksomheten. I denne artikkelen gir vi deg noen overordnede tips til hvordan virksomheten bør jobbe for å oppfylle kravene til cybersikkerhet.

 

Sett IT- og cybersikkerhet på agendaen

Dersom du er riktig posisjonert i organisasjonen, blir du også involvert i arbeidet med å møte de kravene som stilles til bedriften og markedene dere opererer inn mot. Å holde tritt med dette er en kontinuerlig prosess, det dukker stadig opp nye krav, i takt med at trusselbildet og samfunnet ellers forandrer seg. 

Dersom du ikke allerede har en plass ved ledelsens bord, bør du argumentere for at IT og cybersikkerhet skal være et fast sjekkpunkt på ukentlige møter. Ved å ha en aktiv rolle i virksomheten kan du inkludere beslutningstakere i IT-arbeidet og presentere viktigheten av arbeidet med cybersikkerhet på en måte som gir forståelse for hvorfor dette må være en fast post på budsjettet.

Ved å jobbe sammen for å etablere et godt samarbeid basert på gjensidig tillit, sikrer du og virksomheten at smarte og sikre IT løsninger alltid er på agendaen, samtidig som dere beholder kontrollen over virksomhetens data.

 

Les mer om de største sårbarhetene innen IT-sikkerhet i 2020.

 

Oversikt over gjeldende lovverk

Det er ofte en utfordring å få oversikt og tilpasse seg alle de eksterne og interne kravene til IT-løsninger og cybersikkerhet. Disse kravene varierer ut fra hvilken næring virksomheten tilhører, og danner grunnlaget både for hvordan man jobber i hverdagen og for hvordan dere legger strategiene for det langsiktige arbeidet.  

Første steg er derfor at du setter deg grundig inn i hvilket lovverk som gjelder for nettopp din virksomhet. Her har vi lenket til gjeldende lovverk for Bank- og finansnæringen, Helse- og omsorg og Offentlig forvaltning. I tillegg kan det være greit å sette seg inn i Sikkerhetsloven og Personopplysningsloven.

Hvilke krav som stilles til hver enkelt bedrift, kommer også an på selskapstype, antall ansatte, virksomhetsområder, samt kontraktsfestede krav mot kunder, partnere og leverandører. Det viktigste og beste utgangspunktet dere har, er å etablere en oversikt over alt dette. Mange bedrifter gjorde dette i forbindelse med innføringen av GDPR, og i så fall er det en enkel sak å få kontroll på dette. 

 

Planlegg og kartlegg behovene deres

Et eksempel som gjelder de fleste virksomheter i dag, er når bedriften skal velge hvilke skytjenester som skal tas i bruk. Her er det viktig å involvere selgere, innkjøpere og ledelse i arbeidet, slik at dere er sikre på at den tjenesten dere velger, både møter de behovene virksomheten har, og samtidig tilfredsstiller alle krav til cybersikkerhet. Dette kan være utfordrende, fordi man både skal etterleve de kravene som eksisterer per i dag, i tillegg til å kunne favne det som måtte komme. 

Her bør bedriften ta høyde for eventuelle nye kundesegmenter, og hvordan man er forberedt på større internasjonale avtaler, der man må forholde seg til andre krav og retningslinjer enn de nasjonale. Kartlegg hvilke kontroller som allerede er på plass, og hvilke som mangler for å være godt nok forberedt på dette. All kommunikasjon og samhandling over internett utgjør en stor potensiell angrepsflate for hackere, så her gjelder det å være forberedt på mange ulike scenarier.  

 

Bruk et etablert rammeverk

En god start i dette arbeidet er å ta utgangspunkt i et etablert rammeverk for cybersikkerhet som hjelper en med dokumentstruktur, sjekklister og retningslinjer for egenkontroll. 

Mange bedrifter har valgt å se til IT Infrastructure Library (ITIL) eller Control Objectives for Information and Related Technology (COBIT) for IT-organisering og arbeidsmetodikk. Når det gjelder IT-sikkerhet, er ISO27001/2 kjent som industristandarden når man strekker seg mot sertifisering, noe som ofte drives av eksterne faktorer som myndighets- eller kundekrav. Kontrollene i ISO27001, som enkelt kan gjennomføres ved hjelp av veiledningen i ISO27002, gir et godt fundament, og et utmerket grunnlag for stadig forbedring og videreutvikling av selskapets styringssystem for informasjonssikkerhet.

I USA har National Institute of Standards and Technology (NIST) utarbeidet sitt Cyber Security Framework, som er rettet mot kritisk infrastruktur. I Norge forholder vi oss til Nasjonal Sikkerhetsmyndighet (NSM) sine retningslinjer for IKT-sikkerhet. Disse ble nylig  publisert i versjon 2.0, og oppdateres jevnlig, basert på innspill fra brukere og fagmiljøer.

 

Her kan du lese mer om hvilke IT-sikkerhetsområder virksomheten bør ha kontroll på.

 

Vurder å skaffe en samarbeidspartner på IT-sikkerhet

IT-sikkerhet er et stort og komplekst felt, og et stort ansvar å forvalte. Ved å inngå et samarbeid med et IT-sikkerhetsselskap, kan du få hjelp til å forsikre deg om at virksomheten din oppfyller alle formelle krav til cybersikkerhet. En slik partner kan også tilby alt fra intern opplæring, hjelp til å teste og tette forsvaret deres, til å legge langsiktige planer, og kan dessuten bistå dersom dere blir utsatt for cyberangrep.