​IT-sikkerhet er ingen ad hoc-oppgave

Nøkkelen til å sikre din virksomhets digitale verdier ligger i en langsiktig og gjennomarbeidet sikkerhetsplan. Det krever proaktive tiltak og en strategisk reisepartner som vet hva som lurer rundt neste sving.

I en tid hvor digitalisering og teknologiske satsinger nærmest er en absolutt betingelse for å lykkes i de fleste bransjer, investerer både små og store virksomheter i informasjonsteknologi som aldri før. Dessverre er det mange som likevel ikke tar de nødvendige grepene for å sikre sine digitale verdier og ressurser. Og det kan koste dem dyrt.

– Nylig spurte jeg lederen i en stor norsk bedrift om hva han ville gjort hvis styret kom til ham og ville vite hva slags slagplan han hadde for et cyberangrep. Hva skjer da? Hvordan går vi frem når et angrep er et faktum? Bare tenk hvor flaut det ville vært å ikke ha sikret den mest dyrebare verdien i hele virksomheten. For det er ikke snakk om hvis et angrep skjer, det er snakk om når det skjer. Plutselig er man nede for telling i en time, en arbeidsdag, eller kanskje en hel uke. Da taper man både ansikt og penger. Og gjerne mye av begge deler, forklarer Pål Andre Låhne, som har ansvaret for Managed security services (MSS) i Orange Cyberdefense Norge.

Han er beinhardt innstilt på at de skal bli det ledende selskapet innen IT-sikkerhet i Norge. Og det ser det jammen meg ut til at de får til.

En holistisk tilnærming

IT-sikkerhet handler ikke bare om å agere på trusler etterhvert som de dukker opp. Det er en kontinuerlig prosess som krever en langsiktig strategi som sørger for at man hele tiden ligger i forkant av potensielle trusler. Når man har god kontroll på dagens trusselbilde, kan man heller bruke tid og ressurser på å være proaktiv, fremfor å slukke flammene etterhvert som de oppstår. Og sistnevnte er dessverre er realiteten for mange.

Management security services, som er Pål Andre Låhnes bord i Orange Cyberdefense Norge, er predefinerte tjenester som dekker alle behovene de ser hos kundene – fra start til slutt. De overvåker, identifiserer farer og trusler, og de har tjenester som responderer på dem, slik at de også kan bistå kundene dersom angrepet først finner sted. De er rett og slett en reisepartner, tolk og oversetter i ett, som guider kunden gjennom et kontinuerlig skiftende terreng. Dermed kan kunden til enhver tid være trygg på at deres verdier er sikret gjennom hele reisen, med den nyeste teknologien og den beste kompetansen som er å oppdrive.

Og det er nettopp denne helhetlige linjen som er nøkkelen til hvorfor Orange Cyberdefense er Europas ledende kompetansehus på sikkerhet. De tilbyr ikke bare enkelttjenester – de er reisepartneren som sitter på selve kartet og ressursene du vil trenge underveis på ferden.

– Det betyr at vi leverer alt fra strategisk rådgivning, til detektering og overvåkningstjenester, til responstjenester. Vi har fullt ansvar for hele sikkerhetslinjen til våre kunder, alt etter hva de faktisk har behov for, forklarer Låhne.

IT-sikkerhet innebærer ofte kjøp av dyre ressurser, og dreier seg ofte om enkelttjenester som strengt tatt ikke dekker hele det reelle behovet. Resultatet vil derfor se langt bedre ut om man heller satser på en langsiktig og bærekraftig strategi.

– Når vi kan produsere volumtjenester, vil det si at vi kan betjene det behovet kundene sitter på til en overkommelig pris. Når de i tillegg får markedets beste leveranser av tjenester, er det ikke rart at vi er førstevalget for alle virksomheter som tar IT-sikkerhet på alvor.

Full helsesjekk av virksomheten

Et eksempel på en vanlig og effektiv MSS-tjeneste som utføres for kundene, er en såkalt Security Maturity Assessment (SMA). Det er enklere forklart en helsesjekk av IT-sikkerheten i virksomheten på tvers av mennesker, prosesser og teknologier. Først og fremst gir det kunden et realistisk øyeblikksbilde av hvor godt rustet de er innenfor IT-sikkerhet, men ikke minst får de også en rapport som faktisk har en reell funksjon – og som neppe vil bli liggende i en skrivebordsskuff.

– Mens mange sikkerhetstilbydere virker til å skrive rapporter for rapporters skyld, går vi mer praktisk til verks, med en målsetting om å levere en rapport som de faktisk kan bruke til noe konkret. Vi gjør intervjuer med kunden over én til to arbeidsdager, for så å utarbeide en rapport som fungerer som et arbeidsdokument for hvordan de kan forbedre sikkerhetsposituren videre. Her får de helt konkrete og håndfaste råd i prioritert rekkefølge. Den er også et solid grunnlag for å utarbeide en langsiktig strategi for IT-sikkerheten som forenkler beslutningsprosessene, forklarer Låhne.

Penetrasjonstesting, eller pentesting, er også en effektiv tjeneste som brukes i stor skala. Det er en autorisert simulering av et angrep fra en trusselaktør, gjennomført av en «etisk hacker» fra Orange Cyberdefense Norge.

– En reell hacker begår cyberangrep mot små og store virksomheter for egen vinning. Våre etiske hackere jobber derimot sammen med kundene for å teste systemet deres og verifisere hvorvidt de er tilstrekkelig sikret eller ikke. På den måten hindrer man at faktiske hackere vil lykkes med sine angrep, sier Låhne.

De beste vil jobbe med de beste

– Er det én ting som er helt sikkert, så er det at det eksisterer et underskudd på tung IT-sikkerhetskompetanse her i landet. Men det er vi i ferd med å gjøre noe med.

Sammen med resten av ledergruppen i Orange Cyberdefense Norge har Låhne nemlig sørget for å tiltrekke seg de beste hodene som er å oppdrive i Norge. Det har de blant annet gjort ved å etablere et miljø hvor de ansatte kan utvikle seg videre – noe som er en sjeldenhet hos mange arbeidsgivere som ikke jobber dedikert med IT-sikkerhet.

– Vi er et operativt arbeidsmiljø hvor de flinke folkene ønsker å jobbe. Blant annet fordi de ser at vi er den mest kapable totalleverandøren innen sikkerhet, med et solid utvalg av MSS-tjenester. Men også fordi mye av den beste kompetansen i Norge allerede er på huset, og fordi de ser hvilke investeringer vi gjør i forskning og trusselinformasjon. Da er det klart at de beste ønsker å jobbe med de beste, sier Pål Andre Låhne.