Sett søkelyset på mørkemannen! | KPMG | NO

Sett søkelyset på mørkemannen!

Sett søkelyset på mørkemannen!

Jeg har jobbet med informasjonssikkerhet i over 15 år. De siste par årene har jeg fått en snikende følelse av at mye av arbeidet innenfor fagfeltet har hatt feil fokus.

1000

Forfatter

Kontakt

Relatert innhold

Skyggen av to mennesker bak en glassvegg

Først trodde jeg at årsaken var at vi bruker altfor mye energi på mørkemann og regelorientering. At skaper vi store bekymringer hos ledelsen og hele tiden skal holde oss innenfor alle tenkelige regelverk knyttet til informasjonssikkerhet. Det handlet om å vri noen av kreftene over på bygging av en sterk sikkerhetskultur. Hvis bare grunnmuren og kulturen var sterk nok, kunne virksomheten motstå nærmest hva som helst.

Dette mantraet slo selvsagt litt sprekker da forskjellige undersøkelser viste at den største trusselen mot de fleste virksomheter ikke er 14-årige hackere på gutterommet eller øst-europeiske bander, men snarere egne, betrodde ansatte. Men vi bare sparklet over sprekkene og fortsatte som før. En god holdningskampanje og etablert sikkerhetskultur ville rette opp det verste, derfra og ut handlet det om styringssystemer og risikovurdering.

Etter hvert har jeg kommet til den erkjennelsen at arbeidet har vært altfor fokusert på regler og compliance. Og kanskje litt i overkant på kultur og holdninger, styringssystemer og revisjoner. Jeg har også erkjent at arbeidet har vært for lite mørkemannorientert. Vi har sett på feil mørkemann, eller mer presist, vi har aldri identifisert mørkemannen. Selv vårt fremste våpen, risikovurderingen, har fokus på hendelsene og i liten grad på hvem som står bak.

Mørkemannorientering var, og er fortsatt, i all hovedsak knyttet til det å skremme brukere og beslutningstagere til å innføre enda flere regelorienterte tiltak som er umulig å overholde. Eksempler på dette er regler som «ikke bruk minnepinne», «ikke bruk PC’en på usikret nettverk» og «ikke send epost med sensitivt innhold». Den gjennomsnittlige bruker og informasjonsbehandler har ikke mulighet til å forholde seg til slike regler. Dette er en tilnærming jeg ikke er spesielt begeistret for.

Den tilnærmingen jeg har sansen for, handler derimot om identifisering. Hvem er egentlig mørkemannen? Denne identifiseringsprosessen bringer med seg mye godt sikkerhetsarbeid:

  • Du må identifisere hva mørkemannen er ute etter (hva du er redd for å miste/få ødelagt).
  • Du må identifisere mørkemannens evner og verktøy (hvilke kontra-tiltak du kan og bør innføre).
  • Du må identifisere hvem mørkemannen er (hva er intensjonen og viljen bak).
  • Du må identifisere når mørkemannen slår til (hva skal du overvåke).

Jobber du med disse punktene, kan jeg nærmest garantere at du får en mye bedre forståelse av hvem du står ovenfor og hva du må gjøre for å forsvare deg. Det gir et helt nytt verktøy i risikovurderingsarbeidet som gjør at du endelig kan mene noe fornuftig om sannsynligheten for at en uønsket hendelse inntreffer.

Det er ikke magi, men rett og slett bare en anerkjennelse av at mørkemannen eksisterer, kombinert med en forsiktig endring i anvendelsen av de verktøyene vi allerede besitter. Det er etter min mening en litt mer fruktbar tilnærming, fordi du kan konsentrere kreftene om det som er den største trusselen for deg. Mørkemannen er som et troll – setter du lyset på ham, får han problemer.

Ta kontakt

 

Forespørsel

 

Send inn