I en verden i rask endring er graden av business agility avgjørende for hvor godt virksomheter lykkes. En smidig organisasjon har også et mer komplekst IT-landskap da det oppstår økt avhengighet mellom ulike aktører og tjenesteleverandører. I takt med en stadig mer ustabil verden og økt forekomst og omfang av cybertrusler og angrep, har cybersikkerhet havnet høyt på agendaen til de fleste virksomheter. Men hvordan påvirker den digitale transformasjonen egentlig bedrifters sårbarhet? Og innebærer en smidig organisasjon større sikkerhetsrisiko?
I praksis kan man si at digital transformasjon er den endringsprosessen som skjer i de virksomheter som benytter ny teknologi til enten å forbedre betjeningen av sine kunder eller for å effektivisere egne arbeidsmetoder for å oppnå større verdi.
Covid-19 satte virkelig fart på transformasjonen. De siste årene har mye handlet om å migrere til skyen for å legge til rette for fjernarbeid, skape konkurransekraft og redusere kostnader. Organisasjoners evne til å være smidige og tilpasse seg er helt avgjørende og uttrykket «survival of the fittest» er høyst gjeldende. Men hvordan har den høye endringstakten påvirket virksomhetenes sårbarhet?
Stefan Lager, SVP Information and Cyber Security i Iver, mener at transformasjonen var uunngåelig, men at endringstakten har vært så høy at mange organisasjoner i dag lever med en stor teknisk gjeld og manglende helhetsbilde over de faktiske sikkerhetsrisikoene. Endringsarbeidet og veksten har foregått organisk og mange har ikke evnet å jobbe med sikkerhet i samme tempo.
Stefan Lager, SVP Information and Cyber security på Iver
En smidig organisasjon betyr ikke nødvendigvis økt sårbarhet, men et smidig miljø uten sikkerhetsarkitektur gjør det i aller høyeste grad.
– Vi opplever at mange organisasjoner har en høy endringstakt der sikkerhet ikke alltid prioriteres i prosjektene, men er noe som skal legges til i etterkant.
Transformere uten å øke sårbarheten
Det er ikke lenger mulig å jobbe statisk med sikkerhet fordelt på server, applikasjon og nettverk. I dag henger dette sammen i integrerte miljøer der alt er dynamisk og hvor kunder, samarbeidspartnere og ansatte ofte har tilgang inn i ditt IT-miljø. Det nye IT-landskapet stiller nye krav til sikkerhetsarbeidet.
– Tidligere hadde man en perimeterbeskyttelse som kunne redusere risiko dersom du gjorde en feil i et internt miljø. I dag jobber mange i integrerte skymiljøer hvor en feil eller en sårbarhet kan få betydelig større konsekvenser. Det er derfor viktig å bygge inn sikkerhet i alt man gjør, og fra starten av, slik at man kan transformere uten å øke sårbarheten.
Når smidige prinsipper er avgjørende for bedrifters konkurranseevne, må sikkerhetsarbeidet utformes smart slik at sikkerheten ikke bremser farten i virksomheten.
– Til en viss grad vil sikkerhetsarbeid alltid ha innvirkning på smidigheten da det går raskere ved å utelate kontroller. Det er imidlertid mulig å bygge svært effektive sikkerhetsarkitekturer som utnytter automatisering og moderne verktøy for å oppnå balansen du trenger mellom risiko og smidighet.
For å vite hvor du er sårbar må du forstå alle delene og hvordan de henger sammen. Man bør gjennomføre en risikoanalyse for virksomheten der man avdekker risikoer og legger en tiltaksplan.
– Du bør stille følgende spørsmål; Hva skjer hvis vi flytter alle våre sensitive data til Azure eller AWS? Hva er det verste som kan skje og hvordan kan vi beskytte oss? Videre bør man finne ut av hvordan man avdekker sårbarheter man ikke kan beskytte seg mot. Hvordan verifiserer vi kontinuerlig at vi har det nivået av beskyttelse og deteksjonsevne som vi tror vi har, og ikke minst som vi trenger?
For å være i stand til dette vil virksomheten trenge relevant kompetanse, nok ressurser, rett teknologi og gode prosesser:
- Har vi rett kompetanse til å vurdere teknologivalgene?
- Har vi kompetanse og ressurser til å kjøre sikkerhetsovervåking døgnet rundt?
- Har vi etablerte hendelseshåndteringsprosesser og er de godt nok testet?
Fire ting å ta hensyn til for å transformere på en sikker måte
For å gjennomføre en trygg transformasjon finnes det fire hovedkomponenter å ta hensyn til; infrastruktur, applikasjoner, tilgang og data.
Virksomheten må sørge for:
- at de har en infrastruktur med innebygd sikkerhet som er riktig konfigurert og som kontinuerlig oppdateres.
- at det ved utvikling av applikasjoner bygges inn sikkerhetskontroller både under utvikling og etter produksjon.
- at tilgang til applikasjoner og data er granulær (prinsippet om minste privilegium) og beskyttet av sterk autentisering.
- at dataene er beskyttet gjennom hele levetiden (at rest, in transit and at work).
Når det gjelder sikkerhet i forbindelse med digital transformasjon, mener Stefan Lager at det viktigste er å inkludere sikkerhet som en integrert del av alle prosjekter og ikke håndtere det som et plaster som man legger på i etterkant. Du må ha god kunnskap om ditt eget miljø, samt forstå trusselbildet før du kan gå videre og lage et godt sikkerhetsdesign. Samtidig er det umulig å beskytte seg mot alt. Man bør derfor utforme en plan for deteksjons- og hendelseshåndtering slik at hendelser kan oppdages raskt og at man kan stoppe truslene før de forårsaker for mye skade.
– Smidige arbeidsmetoder handler ikke bare om teknologiendring, men også om mennesker og prosesser. Ved å ha en helhetlig tilnærming til sikkerhet og en tett dialog mellom interne funksjoner, kan organisasjonen redusere sin sårbarhet i det nye IT-landskapet og samtidig fortsatt sikre smidighet og fremtidig konkurranseevne.
