Rätt nätverkssäkerhet? En fråga om ledningsstrategi snarare än teknik

I dag översvämmas vi av hot mot våra ICT-system (Information-, Communication- and Tecnology-system), samtidigt som vi bombarderas med olika säkerhetshöjande verktyg som ska ge oss skydd. Men tekniska lösningar räcker bara en bit på vägen, att även ha en genomtänkt strategi är A och O. Trojaner, malicious code, maskar, ”farliga vba-makron”, root kits… listan över faror som hotar våra ICT-system idag är lång. Och när det handlar om hot mot nätverkssäkerheten är det oftast teknik som skall förbättra säkerheten som hamnar i fokus. Men vi har insett hur viktigt det är att dessutom lyfta frågorna på ledningsnivå, och ta sig an säkerhet och risker strategiskt. Med strategiskt menar vi att man bör titta på nätverkssäkerheten i ett affärsmässigt och nyttobaserat perspektiv. Börja med att söka svaret på frågorna: vilka realistiska hot har vi mot företaget, vilken information hanterar vi i vårt nätverk? Hanterar vi endast egen information? Vilka externa krav har vi på informationshanteringen? Vilka konsekvenser får det för företaget om en viss typ av information läcker ut eller kommer i fel händer? När man ställt sig dessa frågor är det lätt att se att nästan alla organisationer och företag har information som behöver skyddas. Ibland är informationen så skyddsvärd att det till och med kan vara mer affärsmässigt gynnsamt att inte nätverksansluta den. Men hur mycket säkerhet behöver då företaget? Själva kärnan här är att se till att skyddsnivån, i form av teknik och tekniska verktyg, är i balans med informationens faktiska skyddsbehov. Kanske krävs bara enkla omstruktureringar för att ligga på en bra skyddsnivå, kanske behöver företaget helt tänka om. Ett effektivt sätt för att få en bild över skyddsbehovet i en organisation är att mäta informationssäkerheten. Ledningen bör inrätta ett strategiskt mätprogram för att kunna följa upp risker och korrelera gentemot den aktuella hotbilden, standarden eller branschen. Ett mätprogram som ger nyckeltal inom viktiga områden avseende informationssäkerhet, där nätverkssäkerheten är en stor del. På så vis kan man precis peka på vilka problem och riskområden man har, och vad man bör göra för att åtgärda dem. Den som tror att endast teknik ger säkerhet agerar “struts” och lever i en fantasivärld. Säkerhet är inte bara ett teknikproblem, den är också en del av företagets process och dess affär. Säkerhet är ett mänskligt och företagskulturellt problem såväl som ett ledningsproblem, och för att uppnå god affärsmässig nätverkssäkerhet krävs god strategi, medvetenhet och bra teknik i balans.