Det nya, uppstramade NIS2-direktivet speglar den förvärrade hotbilden och manar fler företag och organisationer att ta större steg mot att öka robusthet och motståndskraft. NIS2 förstärker vikten av att ledningen är aktiv i sitt arbete med försvarsviljan hos den egna organisationen, att helt enkelt utbilda sig själva och sina medarbetare – säkerhet är inte längre bara en IT-fråga. Adam menar att det nya direktivet egentligen inte innebär några överraskande nyheter, utan snarare att vi nu faktiskt måste börja ta vårt ansvar. På riktigt. I praktiken innebär det att den som redan idag utgår ifrån ett långsiktigt, systematiskt och riskbaserat säkerhetsarbete är på rätt spår.
NIS2-direktivet en knuff för många att göra saker som de länge borde ha tagit tag i. Och även om man inte tycker att man träffas av NIS2 så bör man fråga sig: Har vi råd att bli av med all vår data? För med ransomware-attacker är det allt eller inget, säger Adam Önder.
Det viktigaste är att tåget kommer i rullning
När Adam träffar kunder orienterar han sig först i deras nuläge för att hitta bästa vägen framåt. Även om det finns mycket att göra är det viktigaste att komma i rörelse, ta sig an uppgiften i lagom stora steg, och sprida ut olika insatser över tid.
Står man med flip flops och en badanka i handen är det inte läge att börja klättra upp för Mount Everest. Då är det bättre att försöka kliva upp på land först…, säger Adam Önder.
Ofta är en bra plats att börja att informationsklassa, eller inventera sin data och sina övriga tillgångar som ett första steg, och utse någon eller en grupp personer med tentakler i verksamheten som får i uppgift att driva frågorna framåt. För att kunna föra ett resonemang om risk behöver vi identifiera våra värdefulla tillgångar: Är vi i riskzonen för cyberattacker, korruption eller fysiskt sabotage? Det är också nödvändigt att ha ett förfarande för incidenthantering: Har vi upptäckande förmågor, krisledning och plan för återställning?
Få inte panik om det känns överväldigande. Sätt en plan och visa att ni har tänkt till och tar ansvar, och lägg det på plats allt eftersom. Den största risken av alla, är att inte ens veta om sina risker, säger Adam Önder.
Förstå varför och gör rätt saker
Framgångsrikt säkerhetsarbete förutsätter ett pragmatiskt förhållningssätt. Arbetet behöver brytas ner i mindre beståndsdelar, som processer, tekniska lösningar och administrativa åtgärder, och vi behöver förstå varför vi gör det vi gör.
För att säkerhetsarbete ska vara meningsfullt behöver man hela tiden tänka på helheten. Kedjan är aldrig starkare än den svagaste länken. Det spelar ingen roll hur kraftfullt kassaskåpet är om du inte skyddar koden på rätt sätt, säger Adam Önder.
En del lösningar kommer innebära lite mer arbete för organisationen. Inte sällan kommer tillgänglighetsperspektivet att krocka med säkerhetsperspektivet, och det är viktigt att säkerhetsarbetet är ett verktyg för att öka tillgängligheten och kvaliteten framåt. Inte begränsa dem.
Min upplevelse är att allt fler blir medvetna om de eskalerande hoten och därmed har en större förståelse för att säkerhetslösningar ställer nya krav på oss. Men vi behöver vrida dialogen från ett eget ”säkerhetsspår” till ett mer gemensamt ”säkerställande” av olika förmågor. Säkerhet ska vara en integrerad del och en möjliggörare till fortsatt god kvalitet, avslutar Adam Önder.
