Experten: ”CISO:er håller på att tappa ledningen”

Samtidigt är affärsnyttan inte alltid tydlig. I många organisationer vilar nya satsningar på äldre infrastruktur, komplexa systemmiljöer och tekniska beroenden som inte är byggda för dagens krav.

Kris Lovejoy beskriver det som att försöka köra ett snabbtåg på räls som bara klarar låg hastighet.

Problemet är inte bara tekniskt, menar hon. Det handlar lika mycket om förmågan att förklara varför vissa risker måste hanteras innan verksamheten kan gå vidare.

– När en chef frågar om vad säkerhetsinvesteringar ger för resultat eller varför något innebär en risk, är det svårt för operativa team att förklara varför infrastrukturen inte är redo. Samtidigt ser säkerhetscheferna fler hot och ber om mer pengar. Men de har svårt att beskriva värdet av investeringarna, säger hon.

CISO:n dras tillbaka till maskinrummet

Under flera år har säkerhetschefer uppmanats att bli mer affärsnära. Ciso:n skulle inte bara vara tekniker, utan riskägare, strateg och ledningsperson.

Kris Lovejoy ser nu en motrörelse.

När tiden mellan upptäckt sårbarhet och faktisk attack krymper tvingas mer av säkerhetsarbetet tillbaka till drift, patchning, övervakning och incidentberedskap. Det gör rollen mer operativ igen – och svårare att översätta till ekonomiskt språk.

– Vi brukade säga att säkerhetspersonen måste vara affärsledare och riskägare. Nu måste vi lägga mer av säkerhetsbudgeten på operativ förmåga, säger hon.

Det skapar en svår balans. De bästa säkerhetscheferna behöver både kunna förstå tekniken på djupet och tala med ledningen om risk, pengar och prioriteringar.

– De mest framgångsrika ciso:erna är de som både kan vara tekniska och operativa och samtidigt ha affärsfokus. Det är svårt att hitta, men det är det som skiljer de riktigt bra från resten, säger Kris Lovejoy.

Fyra frågor styrelsen bör ställa

Hon pekar ut fyra grundfrågor som varje styrelse bör kunna få svar på.

Vem är ansvarig?

Det måste vara tydligt vem som är ansvarig för policyer, processer, investeringar och uppföljning. Alla kan ha ett ansvar, men någon måste vara uttryckligt ansvarsskyldig.

Finns ett ramverk för cyberrisk?

Organisationen behöver ett etablerat sätt att hantera cyberrisk, inklusive nya risker kopplade till teknikutveckling och förändrade arbetssätt.

Mäts rätt saker?

Det räcker inte att ha ett ramverk. Ledningen måste veta vilka mätetal som visar om kontrollerna fungerar. Riskaptit behöver översättas till konkreta gränser och uppföljningsbara mål.

Finns en fungerande incidentorganisation?

När något händer måste organisationen veta vem som gör vad, hur beslut eskaleras och när ledning eller styrelse ska kopplas in.

– Har ni organisationen? Har ni ramverket? Har ni mätetalen? Har ni förmågan att följa upp större incidenter? Det är de fyra kategorier av frågor man vill ställa, säger Kris Lovejoy.

Leverantörsrisk går inte att avtala bort

En särskilt underskattad risk finns i leverantörsledet. Enligt Kris Lovejoy förlitar sig många företag fortfarande för mycket på avtal, villkor och leverantörers egna försäkringar. Men leverantörsrisk går inte att avtala bort.

– Vi hanterar ofta leverantörsrisk genom villkor i kontrakt. Vi ställer krav, leverantören intygar att de följer dem – och sedan ser man inte mer av det, säger hon.

Hon varnar också för att företag ofta prioriterar leverantörskontroll efter hur mycket pengar relationen är värd. Det är fel utgångspunkt.

En mindre leverantör kan vara en större cyberrisk än en stor affärspartner om den har åtkomst till känsliga system, data eller infrastruktur. En ensam konsult som bygger en webbplats kan i praktiken innebära större risk än en stor varuleverantör utan teknisk åtkomst.

Man måste nivåindela leverantörer efter vilken åtkomst de har i miljön och vilken risk de innebär för verksamheten, säger Kris Lovejoy.

Det gäller också kontinuitet. Om en kritisk leverantör slås ut måste organisationen veta vad alternativet är.

Från säkerhet till motståndskraft

Kris Lovejoy menar att fler organisationer behöver flytta fokus från cybersäkerhet som isolerad funktion till bredare motståndskraft.

Motståndskraft omfattar cybersäkerhet, integritet, mänskliga misstag, leverantörsstörningar, kontinuitet och återställning. Poängen är att samla frågor som annars lätt hamnar i olika delar av organisationen.

– Om man bara pratar säkerhet får man en säkerhetsorganisation. Sedan finns personer som arbetar med kontinuitet och katastrofåterställning på ett annat ställe, och leverantörsansvariga på ett tredje. Genom att prata om motståndskraft tvingas de arbeta inom samma ramverk, säger hon.

Tre saker även mindre företag måste klara

För mindre och medelstora företag med begränsad budget är råden mer grundläggande. Kris Lovejoy pekar särskilt på nätfiske, identitetsbedrägerier och falska instruktioner som växande risker.

Försvaret behöver inte alltid börja med avancerade projekt. Det börjar ofta med god säkerhetshygien.

För det första behöver företag ha grundläggande skydd på klienter, kommunikationssystem och servrar. För det andra måste multifaktorautentisering användas konsekvent, särskilt vid ekonomiska transaktioner och känsliga beslut.

För det tredje rekommenderar hon enkla verifieringsrutiner, till exempel förutbestämda kodord eller återuppringning vid oväntade instruktioner från chefer.

Bakgrunden är att angripare har blivit bättre på att efterlikna människor i flera kanaler samtidigt – röst, video, sms och mejl. Det gör klassiska skydd mot nätfiske mindre tillräckliga.

– Icke-engelskspråkiga länder har tidigare varit mer skyddade, men nu kan angripare enkelt skapa språk- och situationsanpassade kampanjer. Det förändrar spelplanen, säger Kris Lovejoy.

Säkerhet måste bli begripligt för affären

Så länge cyberrisk beskrivs som teknik blir den lätt en kostnadspost bland andra. När den däremot kopplas till pengar, ansvar, leverantörsberoenden och verksamhetens förmåga att fortsätta fungera blir den en ledningsfråga på riktigt.

Och det är där hon ser att många organisationer fortfarande brister.

– Förmågan att kommunicera har inte förbättrats. Men pressen har ökat. När pressen ökar riskerar gapet att bli större mellan affärssidan och säkerhetsavdelningen.