Från en tid när säkerhet inte ens stod på agendan för en ledningsgrupp är denna fråga hetare än någonsin. Organisationer investerar större och större summor på just säkerhet. De eftersträvar en säkerhetskultur men har sällan analyserat vad detta är, än mindre vad det innebär.
En säkerhetskultur är ett resultat av samspelet mellan värderingar, attityder och beteende, och den uppnås genom gemensam inlärning och samsyn.
Men även om ni har en säkerhetskultur innebär detta inte att incidenter upphör. Incidenter kommer ske ändå och det vet verksamheterna. De försöker därför täcka upp gapen med teknik, eller mer korrekt – man köper teknik som skall hantera dessa incidenter.
Skillnaden mellan incident och allvarlig incident
Men vad är en incident? Det är inget konstigare än en oplanerad störning i en it-tjänst, ett avbrott avseende normalbilden i ett konfigurationsobjekt. Det är alltså en händelse som inte är planerad, inget mer. Incidenter för oss som jobbar med säkerhet är också ofta förenligt med en vilja att reagera, känslan att omedelbart behöva göra något.
Och det är en betydande skillnad på en incident och en allvarlig händelse. Incidenter är en händelse, en allvarlig händelse är ett hot. En mer korrekt fråga man bör ställa sig är; vill vi agera på varje incident eller vill vi börja förstå varför de händer, och kanske till och med påverka antalet incidenter som kan leda till allvarliga händelser?
Om vi har bestämt oss för att börja förstå, och minimera, risker vad gör vi då? Det finns en reaktiv lösning som går genom alla verktyg.
Ni kan skaffa ett security information and event management-system, SIEM, som är antingen en produkt eller en tjänst. Det är något som samlar in och presenterar information från ditt nätverk och andra säkerhetsverktyg (brandväggar, antivirus et cetera). Men den är beroende av en referensbas för vad ni definierar som en allvarlig händelse, det vill säga en incident som har blivit ett hot.
Ni kanske hellre vill skaffa ett SIEM på steroider, en SOC (Security Operations Center). Det är oftast en tjänst som hanterar avvikelser – incidenter – organisatoriskt och tekniskt i hela ert nätverk. Ett rimligt krav på en SOC är att den skall kunna övervaka, analysera, värdera och skydda din informations normaldrift mot incidenter.
Människan är svårast att förstå
Varför måste vi tänka på individen? Utmaningen för en konstruktiv säkerhetskultur är den mänskliga faktorn, om detta råder inget tvivel. Att köpa en teknisk lösning, som tjänst eller produkt, hjälper er inte att förstå varför individen gör som den gör, vilket kommer att skapa incidenter. Idag måste de som sysslar med risk management lägga fokus på att förstå incidenten som helhet.
Att hantera incidenter är således inte en fråga om att förlita sig på en teknisk lösning, den är en fråga om att förstå. Er säkerhetskultur måste byggas på säkra värderingar, en mogen säkerhetsattityd och ett säkerhetsbeteende bland de anställda för att minska incidenter, incidenter som kan bli allvarliga händelser. Det finns därför tre frågor som ni i företaget bör ställa er:
- Vilka värderingar har vi i organisationen?
- Har vi en attityd som jobbar för verksamheten säkerhetsmässigt?
- Har vi ett moget säkerhetsbeteende?
Incidenthantering idag är inte enbart teknisk av naturen, den är multidimensionell med socialpsykologiska dimensioner – beteendebaserad säkerhet. Incidenthantering 2018 är en fråga om att förstå incidenter, det är sann proaktivitet. Incidenthantering 2018 är en mänsklig, holistisk verksamhet där tekniken är ett komplement, inte lösningen.
Så innan ni nu funderar på en teknisk lösning på era säkerhetsutmaningar, se över era grundläggande analyser om de verkligen har tagit den mänskliga faktorn i beaktande. Har ni verkligen den mognad som krävs för att ta steget mot en SIEM/SOC som möter era förväntningar på den? Om ni inte har samspel mellan värderingar, attityder och beteende så riskerar ni ha kvar problemen även med en SOC.
Läs också:
Expertens 8 tips: så skyddar du dig från ransomware
Svenska säkerhetsprofiler ska såra USA-jättarna: ”De hinner inte med”
Befattning: Cybersecurity- och privacyexpert
Företag: Junglemap
Linkedin: Robert Willborg
E-post: rw@junglemap.com
Expertområden: Informationssäkerhet, it-säkerhet, privacyfrågor och beteendebaserad säkerhet
Certifieringar: Certifierad DPO
Bakgrund: Lång erfarenhet av säkerhetsfrågor, såväl från Försvarsmakten som inom näringslivet på en strategisk nivå. Senior rådgivare i säkerhetsrelaterade frågor för näringsliv och offentliga verksamheter. Föreläsare och inspiratör.
