Ineffektiv riskanalys sänker IT-säkerheten
Trots att metoderna för att hantera IT-risker och därigenom förbättra säkerheten existerar, så används de mycket bristfälligt. Här har IT-branschen mycket att lära av finansbranschen när det gäller riskanalys.
Thomas Roka-Aardal, som är Head of Information Security på Nagarro, ser i grova drag två förhållningssätt på hur företag och organisationer förhåller sig till IT-säkerhet. Det ena är att visa att man är compliant, det vill säga att man är anpassad till existerande certifieringar och regler. Man kan visa för ledningen att man är compliant.
Det andra förhållningssättet är att hantera risker, göra riskanalyser för att komma fram till rätt nivå på investeringarna i säkerhet.
- Existerande investeringar i säkerhet grundar sig på sätt och vis på riskanalys för att på så sätt få ned riskerna, men vi behöver bli mer faktabaserade i vår syn på hantering av IT-risker. IT-branschen är väldigt omogen när det gäller användningen av vetenskapliga metoder för riskanalys, säger Thomas Roka-Aardal.
Möjlighet till förändringar
Han jämför med hur riskanalys utförs ibland annat den finansiella sektorn. Där har vetenskapligt grundade riskanalyser använts länge och en riskanalys presenteras med matematisk stringens. Nya metoder utvecklas ständigt och kommer till användning i det dagliga arbetet, så är inte läget inom IT-branschen, där man stadigt använder sig av färger och de välkända matriserna. Men nu finns möjligheter till förändringar.
Idag börjar det finnas gott om information som kan ge säkerhetsansvariga en ny syn på hantering av risker och att rätt kvantifiera risker i reda pengar.
- Vi på Nagarro vill hjälpa våra kunder att genom att använda moderna metoder göra mer korrekta riskanalyser för att på så sätt komma fram till rätt nivå på investeringarna i IT-säkerhet. Här finns en stor osäkerhet idag. Vissa investerar för lite, medan andra kanske investerar för mycket, eller på fel ställe, i IT-säkerhet. Självklart finns det företag och organisationer som redan idag med framgång använder de nya metoderna.
Centralt är att kvantifiera IT-risker
På samma sätt kan man bestämma vilken kostnad man är beredd att ta för en viss IT-risk och göra sina säkerhetsinvesteringar baserat på det.
Målet är att ett företag genom riskanalys ska kunna göra de rätta investeringarna i säkerhet och veta att man har mer kontroll. Det kan till exempelvis vara att kvantifiera risken att någon konkurrent hackar ens affärssystem och ställa skadan mot investeringar i säkerhet.
- Idag kan jag konstatera att kvantifiering av IT-risker blir allt viktigare. Det går inte längre att komma in på ett styrelsemöte utan att ha konkreta siffror. För oss på Nagarro handlar det om att ge organisationer rätt verktyg och metoder och att införa dem i verksamheten. Sättet som Nagarro gör detta på är att man främst genom workshops lär upp våra kunder i hur man kvantifierar cyber risk och hur man använder, monitorerar och mäter detta för beslutstöd för investeringar i IT-säkerhet.
Den 2 oktober kommer Thomas Roka-Aardal att vara huvudtalare på konferensen ”Digital Business Strategy”, http://managementevents.se/events/2738/digital-business-strategy/2019/sweden/
Bland de teman han kommer att beröra märks till exempel: Att skapa ett databaserat angreppssätt för att mäta cyberrisker, att använda beprövade metoder för riskmätning i stället för matriser och att skapa KPI:er för säkerhet som inte döljer information.