Geopolitisk uro og digitale afhængigheder stiller nye krav til informationssikkerhed. Se, hvordan organisationen kan skabe større handlefrihed.
Sådan styrker du informationssikkerhed i en ustabil verden

Sådan styrker du informationssikkerhed i en ustabil verden

Time Reading
10 minutters læsning
ISMS

Cybertrusler er blevet en markant forretningsrisiko, og i en tid med geopolitisk uro, leverandørafhængighed og øgede regulatoriske krav skal organisationer kunne opretholde drift, kommunikere under pres og træffe bevidste valg om deres digitale afhængigheder.

Det betyder, at informationssikkerhed ikke kan reduceres til awareness, adgangskontrol og tekniske sikkerhedsforanstaltninger. Organisationer skal også forholde sig til et mere grundlæggende spørgsmål: Kan vi fortsætte vores kritiske aktiviteter, hvis de digitale forudsætninger ændrer sig?

Spørgsmålet er kun blevet mere aktuelt i takt med, at europæiske organisationer er blevet afhængige af globale teknologileverandører, cloudplatforme og kommunikationsværktøjer. Derfor giver Europe First mening som en diskussion om digital kontrol, leverandørafhængighed og handlefrihed, men for den enkelte organisation handler det først og fremmest om at gøre de kritiske teknologivalg synlige og risikobaserede.

 

Digital afhængighed er en governancerisiko

Mange organisationer har i årevis optimeret deres digitale infrastruktur efter effektivitet, skalerbarhed og brugervenlighed. Cloudbaserede systemer, SaaS-løsninger og globale platforme har gjort det lettere at arbejde på tværs, automatisere processer og understøtte vækst.

Men det har også skabt en koncentration af kritiske processer hos få leverandører. Kommunikation, dokumenthåndtering, identitetsstyring, betalinger, kundedata, leverandørdata og driftskritiske applikationer kan være afhængige af den samme teknologistak eller de samme underleverandører, hvilket ændrer risikobilledet.

Hvis en kritisk leverandør svigter, kan det påvirke drift, kundeleverancer, myndighedsrapportering, adgang til data, ledelseskommunikation og organisationens evne til at reagere rettidigt. Derfor bør digital afhængighed behandles som en governancerisiko.

Det betyder, at organisationen skal kunne svare på spørgsmål som:

    • Hvilke data, systemer og leverandører er kritiske for vores drift?

    • Hvor længe kan vi operere uden adgang til centrale systemer?

    • Hvem træffer beslutninger, hvis normale kommunikationskanaler ikke virker?

    • Har vi realistiske alternativer, hvis en kritisk leverandør svigter?

Svarene bør indgå i ledelsens samlede risikobillede, fordi digital afhængighed påvirker både drift, compliance, kundeløfter og forretningskontinuitet.

 

Digital handlefrihed kræver risikobaseret leverandørstyring

Begreber som "Europe First", digital suverænitet og strategisk autonomi kan hurtigt komme til at lyde politiske. Men i en GRC-kontekst er de først og fremmest udtryk for et styringsbehov: Organisationen skal vide, hvor den er afhængig, hvor afhængigheden er kritisk og hvilke muligheder der findes, hvis adgang, vilkår eller leverancer ændrer sig.

Samtidig skal organisationer kunne vurdere, om deres teknologivalg giver tilstrækkelig kontrol over data, drift, adgang, support og underleverandører. Det kræver blandt andet overblik over, hvor data hostes, hvilke jurisdiktioner der kan påvirke leverancen og hvor stor den reelle afhængighed er.

En europæisk leverandør er ikke automatisk bedre, og en global leverandør er ikke automatisk uegnet. Den modne tilgang til valget er dokumenteret, risikobaseret og forankret i organisationens kritiske processer.

 

Reguleringer flytter fokus mod operationel robusthed

Den udvikling afspejles også i de europæiske reguleringer. I dag skal organisationer i højere grad kunne modstå, håndtere og komme sig efter kritiske forstyrrelser. Det handler i stigende grad om operationel robusthed frem for udelukkende informationssikkerhed.

NIS2 stiller krav om cybersikkerhedsforanstaltninger, der blandt andet omfatter risikostyring, hændelseshåndtering, driftskontinuitet, krisestyring, forsyningskædesikkerhed og sikkerhed i netværks- og informationssystemer.

DORA gælder specifikt for den finansielle sektor, men viser tydeligt hvor reguleringen bevæger sig hen: fra informationssikkerhed som kontrolsæt til digital operationel resiliens med krav til blandt andet ICT-risikostyring, backup, recovery, kommunikation, test og tredjepartsrisici.

Fælles for både NIS2 og DORA er, at organisationer ikke kun skal dokumentere politikkerne. De skal kunne vise, at de fungerer under forstyrrelser. En beredskabsplan, der aldrig er testet, er ikke et reelt beredskab. En backup, der aldrig er genskabt, er ikke en sikkerhed. En exitplan, der kun findes som en kontraktklausul, er ikke nødvendigvis en operationel mulighed.

Læs også: EU's øgede fokus på cybersikkerhed

 

Skab overblik over kritiske systemer, data og leverandører

Man kan ikke beskytte det, man ikke har overblik over. Derfor bør arbejdet med informationssikkerhed starte med en systematisk kortlægning af organisationens kritiske digitale fundament.

Kortlægningen bør som minimum omfatte:

    • kritiske forretningsprocesser, systemer og data

    • interne systemejere og beslutningstagere, leverandører og underleverandører

    • integrationer og afhængigheder til cloud, identitetsstyring, betalinger og kommunikation

    • eksisterende backup-, recovery- og exitmuligheder

Det centrale er at skabe et beslutningsgrundlag, hvor ledelsen kan se, hvilke systemer der er kritiske, hvilke der er vigtige og hvilke der kan undværes midlertidigt. Her er det nyttigt at arbejde med tidsbaserede vurderinger: Hvad kan organisationen undvære i 4 timer, 24 timer, 7 dage og 30 dage? Øvelsen gør risikobilledet konkret og skaber et mere professionelt grundlag for prioritering.

 

Minimumsdrift bør planlægges, før den bliver nødvendig

Mange beredskabsplaner tager udgangspunkt i, at organisationen kan kommunikere, koordinere og dokumentere på normal vis. Men det er netop de forudsætninger, der kan være ramt i en krise.

Hvis mail, Teams, Slack, adgangsstyring eller cloudbaseret dokumentation ikke virker, skal organisationen stadig kunne træffe beslutninger. Derfor bør minimumsdrift planlægges særskilt.

Det indebærer blandt andet, at organisationen har:

    • opdaterede kontaktlister til ledelse, nøglepersoner, leverandører og myndigheder

    • alternative kommunikationskanaler og adgang til nødvendige dokumenter uden for primærmiljøet

    • klare roller, beslutningskompetencer og manuelle procedurer for kritiske opgaver

    • skabeloner til intern og ekstern kommunikation

Jo bedre virksomheden kan opretholde et minimumsniveau af drift, desto bedre kan den prioritere ressourcer, beskytte kunder og reducere konsekvensen af hændelsen.

 

Backup er kun værdifuld, hvis den kan genskabes

Backup er et af de områder, hvor organisationer ofte overvurderer deres modenhed. Mange har backup. Færre har testet, om den virker. Endnu færre har testet, om den kan genskabes hurtigt nok til at understøtte forretningens behov.

En backupstrategi bør ikke kun besvare spørgsmålet: "Tager vi backup?" Den bør også besvare:

    • Hvilke data og konfigurationer er omfattet?

    • Hvor opbevares backup, og er den adskilt fra primærmiljøet?

    • Er backup beskyttet mod kompromittering?

    • Hvor hurtigt kan data genskabes?

    • Matcher RTO og RPO forretningens faktiske behov?

En backup, der ligger i samme kompromitterede miljø som primærsystemet, giver falsk tryghed. En backup, der ikke kan genskabes inden for den nødvendige tid, reducerer ikke forretningsrisikoen tilstrækkeligt. Og en backup, som kun én person ved, hvordan man aktiverer, er en sårbarhed i sig selv.

 

Leverandørstyring skal omfatte exit

Leverandørstyring fokuserer ofte på due diligence ved indgåelse af aftaler: sikkerhedsdokumentation, databehandleraftaler, certificeringer, spørgeskemaer og kontraktvilkår. Det er vigtigt, men det er kun begyndelsen.

Den reelle test er, om organisationen løbende kan styre afhængigheden. Det kræver indsigt i leverandørens rolle i den kritiske drift, de data leverandøren behandler, de underleverandører, der indgår, og de muligheder organisationen har, hvis samarbejdet skal ændres eller ophøre. DORA’s regler om ICT-tredjepartsrisiko er et godt modenhedspejl, fordi de tydeligt kobler leverandørstyring, koncentrationsrisiko og exitstrategier til organisationens kritiske funktioner.

En exitplan bør ikke bare beskrive retten til at opsige en aftale. Den bør også beskrive, hvordan organisationen reelt kan flytte, genetablere eller erstatte en kritisk service uden uacceptabelt tab af data, drift eller kontrol. Hvis exit ikke er praktisk mulig, bør det fremgå tydeligt af risikobilledet. Så er afhængigheden ikke nødvendigvis uacceptabel, men den skal være bevidst.

 

Kriseledelse kræver roller, beslutningsspor og kommunikation

Når en hændelse opstår, er tid en kritisk faktor. Uklarhed om ansvar skaber forsinkelse, dobbeltarbejde og modstridende kommunikation. Derfor bør organisationen på forhånd definere, hvem der gør hvad.

Det gælder især, hvem der:

    • vurderer hændelsens alvor

    • kontakter kritiske leverandører

    • aktiverer beredskabsplanen

    • briefer ledelsen

    • kommunikerer til medarbejdere

    • kommunikerer til kunder og samarbejdspartnere

    • vurderer juridiske rapporteringspligter

    • dokumenterer hændelsesforløb og beslutninger

Under en hændelse skal organisationen kunne dokumentere, hvad der skete, hvornår det skete, hvilke beslutninger der blev truffet og på hvilket grundlag. Det er afgørende for læring, compliance, forsikringsforhold, myndighedsdialog og ledelsesrapportering.

Kommunikation bør også forberedes. Det er langt lettere at tilpasse en eksisterende skabelon end at formulere den første kundebesked midt i en driftsforstyrrelse.

 

Informationssikkerhed skal skabe handlefrihed

Informationssikkerhed i en ustabil verden handler ikke om at forudsige alle scenarier, men om at skabe tilstrækkelig handlefrihed til at kunne reagere, når forudsætningerne ændrer sig.

Det kræver:

  • overblik over kritiske systemer, data og leverandører

  • testede backups og realistiske beredskabsplaner

  • alternative kommunikationsveje

  • klare roller og ledelsesforankrede beslutninger

  • en mere bevidst tilgang til digital afhængighed, hvor teknologivalg vurderes ud fra både effektivitet, compliance, sikkerhed og operationel robusthed.

Europe First kan derfor forstås som et praktisk styringsprincip snarere end et absolut teknologivalg. Det handler ikke om at skifte hele teknologistakken fra den ene dag til den anden, men om at kende organisationens kritiske afhængigheder, vurdere dem som en del af risikobilledet og sikre realistiske handlemuligheder, hvis adgang, vilkår eller leverancer ændrer sig.
Logo

Andre artikler

Derfor bør GRC ikke styres i Excel

Time Reading
9 minutters læsning
GRC

Sådan implementeres EU's direktiver og forordninger i Skandinavien

Time Reading
13 minutters læsning
DORA
GDPR
GRC
NIS2

ISO 27001: Best practices til at sikre informationssikkerheden

Time Reading
6 minutters læsning
ISMS