• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Ökad säkerhet kräver kulturförändring

Vi har olika kulturer och separerade organisationer, och "olika" och "separerade" är två begrepp som inte passar in i dagens verksamheter, skriver Martin Mazur, CTO på 1337.

-

Låt mig börja med att klargöra en sak: jag är inget säkerhetsproffs. Men som mångårig CTO med bakgrund inom mjukvaruutveckling är säkerhet något jag bryr mig passionerat om. Idag är säkerhet en så väsentlig del i alla verksamheter att det inte längre går att lägga ansvaret på en eller ett fåtal individer i organisationen. Ändå ser det alltför ofta ut just så.

Kompetensbristen inom tech gäller även säkerhet där många lediga roller förblir otillsatta. Detta samtidigt som mer än hälften av alla företag, enligt CSO 2021 Security Priorities Study, vill öka sina säkerhetsinvesteringar med upp till 10% under 2022. Många säkerhetsexperter går in i väggen på grund av hög arbetsbelastning och för stora ansvarsförväntningar. Ofta vilar nämligen hela organisationens säkerhet på ett fåtal individer. Säkerhetsexperter upplever att de flaggar för samma risker om och om igen men att ingen lyssnar. När det väl smäller riktas blickarna ändå mot dem.

För många mjukvaruutvecklare är säkerhet viktigt men ett otillgängligt och snudd på mytiskt område. Det finns två orsaker till detta. Den första är att utvecklare och säkerhetsexperter kommer från två olika kulturer, med olika bakgrunder, språk och värderingar. Om jag generaliserar: utvecklare bygger saker, är öppna för att dela med sig av kunskap, är transparanta kring sina projekt, jobbar agilt och iterativt. Och slutligen – de prioriterar användarvänlighet. Säkerhetsexperter bryter sig in i saker, är återhållsamma med att dela med sig av kunskap, är hemlighetsfulla kring vad de jobbar med, anser att förändring är en risk och istället för användarvänlighet prioriterar de regelefterlevnad.

Den andra orsaken till klyftan mellan utvecklare och säkerhetsexperter är organisationen. Utvecklare har ofta krav på sig att leverera inom utsatt tid, med alla specificerade funktioner och inom budget. Man vill få saker att funka och tycker att säkerhetsexperterna tillhör ”Avdelning Nej”, vilket är förklarligt då ansvaret ofta vilar på säkerhetsavdelningen.

Så för att sammanfatta problemet: vi har olika kulturer och separerade organisationer.

Varför måste detta förändras? För att idag levererar vi produkter snabbare än någonsin, men ändå långsammare än vi någonsin kommer att göra. ”Olika” och ”separerade” är två begrepp som helt enkelt inte passar in hos dagens företag.

Att lösa detta kräver ett holistiskt perspektiv. Vi måste ha rätt process på plats och den behöver stödjas av rätt organisation – men inget av det spelar någon roll om vi inte får till rätt kultur.

Processen. Oftast det som är enklast att förändra. Många organisationer arbetar redan med DevOps –att brygga gapet mellan utveckling och drift. Nästa naturliga steg är att lyfta in säkerhet i processen. DevSecOps integrerar säkerhet som ett delat ansvar genom hela it-livscykeln. I många team är säkerheten något ett isolerat team lade på i slutet av utvecklingsprocessen. Det var inget större problem när utvecklingscyklerna var månader eller år. Idag har vi cykler på veckor eller dagar. Därför behöver man kontinuerligt arbeta med säkerhet i varje del av cykeln.

Organisationen. Förändringar av organisationen är lite svårare eftersom det kräver stöd från ledningen. Det kan dessutom vara både tidskrävande och kostsamt att genomföra. Ändå är det avgörande för ett bra säkerhetsarbete med en organisation som stöder ett integrerat arbetssätt mellan utveckling, drift och säkerhet. Alltför ofta arbetar dessa team seperarade från varandra och DevSecOps ses som ett kommunikationsverktyg. Utmaningen är något mindre mellan utveckling och drift då dessa ofta rapporterar till samma chef, men när vi blandar in säkerhet är det inte alls ovanligt att detta team har en annan organisatorisk tillhörighet. Bästa sättet att organisera sig är istället tvärfunktionella team som rymmer all kompetens som krävs för leverans – från problem till produkt. Varje team bör vara ansvarig för säkerheten i sin produkt och därför måste varje team ha säkerhetskompetens.

Martin Mazur, CTO 1337

Kulturen. Denna förändring är den svåraste och mest kostsamma att genomföra. Men det är kulturen som får säkerhetsarbetet att bära eller brista. Förändringen sker inte på ett ställe utan överallt och den kräver att alla är med. Du kan inte påtvinga en kulturell förändring genom policys – du måste själv leda den och inspirera dina medarbetare. Kulturförändringen blir kritisk eftersom en organisation som arbetar med DevSecOps i tvärfunktionella team – med säkerhet integrerad i teamen – inte kommer att lösa några av ovanstående problem om kulturen fortfarande anser att det är säkerhetsexperterna som bär fulla ansvaret för säkerheten.

REKLAMSAMARBETE

Så kan säkerhetsövervakning bidra till ökad cybersäkerhet

Riskanalys och säkerhetsövervakning av kritiska system ökar cybersäkerheten och säkrar energiförsörjningen i skarpt läge. Samhället är i dag helt beroende av bibehållen tillgänglighet från...

FLER NYHETER

Ny utbildning ska öka kommuners beredskap mot välfärdsbrottslighet

Under senare år har välfärdsbrott riktade mot kommuner och regioner börjat uppmärksammas i allt större utsträckning. Fortfarande är kunskapen om välfärdsbrott ganska låg och...

REKLAMSAMARBETE

Hög tid att komma i gång med utbildning i cybersäkerhet

Cyberattackerna slår mot alla typer av företag och organisationer. Med hjälp av AI blir dessutom attackerna både fler och svårare att upptäcka. Och även...

Han blir ny CFO på Avarn Security i Sverige

– Jag välkomnar Fredrik till Avarn och är övertygad om att hans gedigna erfarenheter inom området kommer att stärka vår fortsatta resa mot att...

REKLAMSAMARBETE

6 Reasons to choose Milestone XProtect

In today’s dynamic world, basic video recording barely scratches the surface of what your security system needs. You require a vigilant security posture, capable...

Åtgärdslista för att stoppa illegala sprängningar lämnad till regeringen

Några av förslagen har kunnat omhändertas direkt inom ramen för någon av myndigheternas uppdrag. Totalt har fem arbetsgrupper tagit fram förslag på åtgärder som...

C: Det privata näringslivet måste inkluderas i satsningar på cybersäkerhet

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.Centerpartiet har länge önskat ökad finansiering och efterlevelse av lagstiftning inom cyberområdet. Vi är...

REKLAMSAMARBETE

”Vi delar syfte – stärka Sveriges förmåga att hantera komplexa säkerhetsutmaningar”

Hallå där Pernilla Hörnfeldt, Mötesplats Samhällssäkerhet, i år är ni med som sponsor av Säkerhetsgalan som går av stapeln den 30 september i Stockholm...

UNDERSÖKNING: 90 procent av företag i Europa utsattes för cybersäkerhetsincidenter som NIS2 kunde ha förhindrat

Verksamheter navigerar i ett landskap av blandade inställningar när verkställighetsdatumet för nätverks- och informationssäkerhetsdirektivet 2022/2555 (NIS2) närmar sig. NIS2, en förordning som syftar till...

Borås stärker det brottsförebyggande arbetet

I juli förra året infördes en ny lag som ger kommuner ett större brottsförebyggande ansvar. Lagen innebär att landets kommuner ska skaffa sig en...

Conscia tillsätter ny affärsområdeschef för cybersäkerhet

– Octavio har en unik kombination av teoretisk förståelse kring regulatoriska krav och processer, tillika djup teknisk kompetens. Tillsammans med en vilja att göra verklig...

Kriminalvården förnyar rikstäckande ramavtal med Bravida för teletekniska säkerhetslösningar

– Vi är stolta över att vi har fått fortsatt förtroende från Kriminalvården att vara med och bidra till en säkrare miljö genom leverans...

Securitas Technology har tillsatt ny vd

Anne Haaber-Bernth kommer senast från Iver Management. På Securitas Technology kommer hon ha ett övergripande ansvar för hela den svenska verksamheten."Annes gedigna erfarenhet av...

Han blir ny generaldirektör för Integritetsskyddsmyndigheten

Eric Leijonram är för närvarande chefsjurist på Finansinspektionen. Han har en bakgrund från bland annat domstol, Regeringskansliet och Kriminalvården. Utöver detta har Eric Leijonram...

Säkerhetsgalan bjöd på allvar, kunskap, nätverkande och fest!

Årets Säkerhetsgala levererade en eftermiddag med mycket allvar när man tog sikte på säkerhet i världen, Europa och Sverige och hur vi i Sverige...

Årets Säkerhetsprofil 2024: Hanna Linderstål

Säkerhetsgalan drog fullt hus under måndagen och Hanna Linderstål rev ner applåder när hennes namn dök upp på skärmen på Vasateaterns scen i samband...

Margarita Sallinen och Linda Nieminen utses till Framtidens säkerhetstalanger

Motiveringen lyder:Framtidens Säkerhetstalang 2024 är inte EN person, utan TVÅ exceptionella personer, som tillsammans bidrar till att öka allmänhetens medvetenhet om cybersäkerhet. Genom den populära podcasten ”Cyber Chats...

Cybercampus Sverige och Rise lanserar Cyberlyftet

Cyberlyftet är utformad som en grundläggande introduktion i cybersäkerhet, oavsett bakgrund och yrke. – Vi har alla lärt oss känna igen konsekvenserna när säkerheten brister....