Se for deg at virksomheten din rammes av et nedbrudd i sky-infrastrukturen. Ingen har lengre tilgang til e-post, ERP-system eller kundedata. Supportteamet aner ikke hvilke leverandører som sitter med ansvaret, og ledelsen mangler oversikt. Dagen etter kommer det en henvendelse fra Datatilsynet – hvordan skal man sikre datasikkerheten når man ikke har kontroll på sine egne IKT-tjenester?
Dette er dessverre ikke et urealistisk scenario, og det er nettopp derfor avgjørende å vite hvilke IKT-tjenester virksomheten bruker, og hvordan de er koblet til forretning, compliance og risikostyring.
Hva er IKT-tjenester?
Informasjons- og kommunikasjonsteknologi (IKT) omfatter alle teknologiske løsninger og tjenester som muliggjør digital kommunikasjon og informasjonsbehandling.
Begrepet dekker blant annet:
- Maskinvare: servere, datamaskiner, mobile enheter
- Programvare: applikasjoner, databaser og operativsystemer
- Nettverk: internettforbindelser, brannmurer, VPN, rutere
- Sky-tjenester: Microsoft 365, AWS, Google Cloud
- Telekommunikasjon: telefoni, videokonferanse, VoIP
Med andre ord: IKT-tjenester utgjør grunnmuren i den digitale driften, og svikt eller nedetid kan få alvorlige konsekvenser.
Hvorfor er det viktig å ha oversikt over sine IKT-tjenester?
Å ha kontroll på virksomhetens IKT-tjenester er avgjørende for å kunne ta gode beslutninger. Når du vet hvilke systemer og tjenester som er i bruk, kan du enklere identifisere svake punkter i den digitale infrastrukturen og dermed styrke risikostyringen. Samtidig er dette en forutsetning for å oppfylle krav til compliance, inkludert dokumentasjon av databehandlere og etterlevelse av GDPR. Oversikten gjør det også mulig å prioritere investeringer der de har størst effekt – for eksempel innen cybersikkerhet eller systemrobusthet.
Uten innsikt i hvilke IKT-tjenester som faktisk benyttes, blir det vanskelig å identifisere hvilke systemer som er forretningskritiske, dokumentere tilsynsplikt overfor myndigheter, eller reagere raskt ved driftforstyrrelser eller sikkerhetsbrudd.
Lovgivningen stiller nye krav
De siste årene har regelverket utviklet seg betydelig, med økt fokus på cybersikkerhet og driftssikkerhet – noe som har direkte konsekvenser for hvordan virksomheter må håndtere IKT-tjenestene sine. To sentrale reguleringer er DORA og NIS2, som begge stiller skjerpede krav til oversikt, risikovurdering og forankring i ledelsen.
DORA-forordningen er rettet mot finanssektoren og krever blant annet at virksomheter dokumenterer alle IKT-tjenester, tester sin digitale robusthet og har beredskapsplaner klare ved hendelser. Her holder det ikke å vite hvilke systemer man bruker, man må også kunne dokumentere hvordan de styres og sikres.
NIS2-direktivet omfatter et bredere utvalg av både offentlige og private virksomheter, og legger vekt på risikobasert cybersikkerhet, rask rapportering av hendelser og styrket governance. Felles for begge regelverk er at ledelsen har et tydelig ansvar for å integrere IKT og cybersikkerhet i virksomhetens overordnede styring.
Både DORA og NIS2 forutsetter at virksomheten har full oversikt over sine IKT-tjenester. Uten dette blir det nærmest umulig å oppfylle kravene og krevende å dokumentere compliance når tilsynsmyndigheten banker på døren.
LES OGSÅ: Forsyningskjedesikkerhet: Kom i gang med Third Party Risk Management
Hvordan kartlegger og klassifiserer du IKT-tjenestene dine?
Kartlegging av IKT-tjenester er en strukturert øvelse som handler om å forstå hvordan de ulike teknologiene støtter opp under virksomheten, hvor sårbarhetene ligger, og hvordan tjenestene bør prioriteres.
En systematisk tilnærming til kartlegging av IKT-tjenester bør inkludere:
1) Identifisering av IKT-tjenester
Lag en samlet oversikt over all relevant programvare, maskinvare, nettverkskomponenter og eksterne leverandører.
2) Klassifisering av risiko
Hvilke tjenester er forretningskritiske? Hvilke behandler personopplysninger? Hvor er driftsavhengigheten størst?
3) Risikovurdering
Vurder sannsynlighet og konsekvens ved svikt. Bruk for eksempel en skala fra lav til høy, og visualiser det i en risikomatrise.
4) Dokumentasjon og ansvar
Hvem har eierskap til hver enkelt tjeneste? Hvor finnes kontrakter og databehandleravtaler? Hvor ofte skal informasjonen gjennomgås og oppdateres?
