Att fortsätta styra cybersäkerhetsarbetet med Excel och Word hör hemma i en tid då kulramen och räknestickan var normerande verktyg för styrning. Världen har gått vidare, hotbilden är mer föränderlig och komplex än någonsin. Det menar Daniel Reinholdsson, vd på Cyber Defencely.
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Svenska organisationer står inför ökade krav på cybersäkerhet, genom NIS2-direktivet som införlivats i svensk lagstiftning genom Cybersäkerhetslagen. Den ställer tydliga krav på riskbaserad styrning, kontinuitet och kontroll av leverantörer och att kunna visa och bevisa hur man har infört sina säkerhetsåtgärder. Samtidigt bedrivs cybersäkerhetsarbetet i många verksamheter fortfarande med hjälp av Excelark och Worddokument.
I praktiken är det nästintill omöjligt att skapa ett systematiskt och mätbart cybersäkerhetsarbete utan ett digitalt systemstöd för riskhantering, kontinuitetshantering och leverantörsuppföljning i någon organisation. Ändå fortsätter många organisationer, även samhällsviktiga att fortsätta anamma manuella arbetssätt som hör hemma i svunnen tid.
Problemet är inte att dokumentation saknas, tvärtom det produceras ofta stora mängder styrdokument, enskilda riskanalyser och handlingsplaner. Problemet är att dessa dokument inte bildar ett sammanhållet ledningssystem som fungerar i praktiken. De lever separata liv, uppdateras vid olika tillfällen och saknar möjlighet till en helhetsbild rörande beslut, åtgärder och uppföljning.
Ett fungerande cybersäkerhetsarbete förutsätter att risker kan följas över tid, från identifiering och bedömning till beslut, åtgärd och uppföljning. Det kräver spårbarhet och aktualitet. I dokumentbaserade arbetssätt förloras detta snabbt, versioner divergerar ofta inom samma organisation, ansvar blir otydligt och uppföljning blir beroende av enskilda individer och det manuella arbetet nästintill omöjliggör en övergripande sammanhållande risk och lägesbild.
Att tillföra fler människor till ett manuellt system skapar inte nödvändigtvis ett bättre säkerhetsarbete, det skapar många gånger ökad komplexitet, större samordningsbehov och ökat personberoende.
Samma mönster återkommer inom kontinuitetshantering. Många organisationer har kontinuitetsplaner som tas fram för att uppfylla formella krav, men som inte är integrerade med faktiska risker, verkliga beroenden eller leverantörsled. När en incident väl inträffar visar det sig ofta att planerna inte speglar den verklighet de är tänkta att hantera.
Leverantörsuppföljning är kanske det tydligaste exemplet på detta glapp. I dag är externa leverantörer en av de största säkerhetsutmaningarna. Trots det försöker många organisationer hantera dessa risker med kalkylblad och punktvisa kontroller och manuell uppföljning eller avtal. Resultatet blir en fragmenterad lägesbild och reaktiv hantering, snarare än systematisk riskhantering och en balanserad skyddsnivå.
Mot denna bakgrund framställs ofta lösningen som att resurserna måste öka, fler specialister, fler konsulter, fler timmar. Men frågan förtjänar att ställas. Är problemet verkligen resursbrist eller är det brist på att säkerhetsbranschen kör på i gamla invanda hjulspår?
Att tillföra fler människor till ett manuellt system skapar inte nödvändigtvis ett bättre säkerhetsarbete, det skapar många gånger ökad komplexitet, större samordningsbehov och ökat personberoende. Kvalificerade medarbetare slösar dyrbar arbetstid på ineffektiva arbetssätt. Kunskap och lägesbild stannar i huvuden och dokument, snarare än i digitala lägesbilder som kan delas, följas upp och användas av ledningen för att fatta informerade beslut.
Den nya svenska cybersäkerhetslagstiftningen tydliggör detta ansvar, ledningar förväntas ha en tydlig lägesbild kring organisationens cyberrisker, fatta informerade beslut och säkerställa kontinuerlig uppföljning. Detta är svårt att förena i praktiken med arbetssätt där beslutsunderlaget tas fram manuellt inför revisioner eller rapporteringstillfällen.
Frågan är därför inte om organisationer har tillräckligt många dokument, utan om de har skapat förutsättningar att styra sitt cybersäkerhetsarbete i praktiken.
Vill vi ha cybersäkerhet som klarar en granskning av dokumenten eller en beprövad cybersäkerhetsförmåga som fungerar när den verkligen behövs?
Daniel Reinholdsson
Vd Cyber Defencely
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
