”Build it fast and fix it later”

I princip alla företag och organisationer skjuts kostnaden för IT-säkerhet gärna på framtiden, man väljer att låna från säkerheten och lägga pengarna på andra ”viktigare” saker.

Men genom att skjuta på kostnaden för IT-säkerhet så bygger man upp en sk ”säkerhetsskuld” vilket innebär att man skapar en framtida kostnad för att rätta till brister i IT-säkerheten.

Organisationen sparar pengar på kort sikt genom att installera otillräckliga säkerhetssystem och -rutiner. Men på lång sikt måste det åtgärdas, vilket kostar mer än om man tog kostnaden initialt.

Det är lätt att glömma det ömsesidiga beroendet mellan IT och affärsverksamheten. IT är affärsverksamhet och säkerhetsskulden blir alltså i praktiken både en affärsskuld och en affärsrisk, en IT-incident är i själva verket en affärsincident.

En IT-incident skapar framför allt bristande tillit, vilket är smittsamt och kan orsaka allvarligare ekonomiska konsekvenser än själva incidenten i sig. Bristande tillit kan inte heller åtgärdas med tex försäkringar.

Den accelererande digitaliseringen och stora ökningen av fjärrarbete och -inlärning orsakat av COVID -19 pandemin skapar också i sig helt nya risker med vidhängande säkerhetskrav och bygger ytterligare på säkerhetskulden i snabb takt.

IT-säkerhet hanteras ofta på fel nivå. IT-säkerheten skall planeras och styras från organisationens ledningsgrupp. Men lämnas i stället till organisationens IT-avdelning som varken har tillräckliga resurser eller mandat att utföra uppgiften. I vissa fall lämnas IT-säkerhetsansvaret tom till externa leverantörer utan kravställning, insyn eller styrning från kunden/organisationen.

Det är mycket viktigt att identifiera organisationens säkerhetsskuld och möta alla utmaningar och risker som är förknippade med det. Minst följande åtgärder rekommenderas för att hantera säkerhetsluckorna:

  1. Förstå vad säkerhetsskuld är och hur det påverkar organisationen.
  2. Synliggör vad som bidrar till säkerhetsskulden.
  3. Inse konsekvenserna av säkerhetsskulden i vardagen.
  4. Betala av på säkerhetsskulden, utan att ta genvägar.
  5. Gör en sårbarhetsbedömning och identifiera de viktigaste frågorna som ledningsgruppen bör fokusera på.

Säkerhetsskulden är en ständig utmaning och det är något som affärs- och IT-ledare ständigt måste fortsätta att se över. Cybersäkerhet måste hanteras på ett heltäckande och holistiskt sätt, inte från ett endimensionellt perspektiv. Det finns inget slut, det är en kontinuerlig resa.

Vänd dig gärna till oss på Schuetten Consulting, vi har lång erfarenhet av det här området och kan hjälpa dig med att minska din IT-säkerhetsskuld genom ett bättre cyberskydd, allt från att bygga upp din interna IT-säkerhetsorganisation till direkta tekniska säkerhetsåtgärder.

TIPS! Du kan hyra oss som din organisations CSO (Chief Security Officer) som ett deltids- eller interimuppdrag. Ett mycket förmånligt och effektivt sätt att ta in behövlig IT-säkerhetskunskap i organisationens ledningsgrupp.