Cybersäkerhet vid digital transformation – så minskar du verksamhetens sårbarhet

Den digitala transformationen är i praktiken den förändringsprocess som sker inom organisationer som nyttjar ny teknik för att hitta bättre sätt att betjäna sina kunder eller organisera arbetsflöden för att ta verksamheten till nya nivåer av effektivitet.

Transformationen som ägt rum de senaste åren, och som fått en extra skjuts sedan covid slog till, har för många företag handlat om migrering till molnet för att underlätta distansarbete, bygga konkurrenskraft och sänka kostnaderna. Företags förmåga att anpassa sig, att bli agila, har aldrig varit så betydande som nu – och uttrycket ”survival of the fittest” har väl aldrig varit mer passande. Men hur har den höga förändringstakten påverkat företagens sårbarhet?

Stefan Lager, SVP Information and Cyber Security på Iver, menar att transformationen varit oundviklig, men att förändringstakten varit så pass hög att många organisationer idag lever med en teknisk skuld. Förändringsarbetet och tillväxten har skett organiskt och man har inte hunnit ifatt med säkerhetsarbetet i samma takt.

Stefan Lager, SVP Information and Cyber Security på Iver

En agil verksamhet innebär inte per se en ökad sårbarhet, men en agil miljö utan en säkerhetsarkitektur gör det i allra högsta grad.

– Det vi ser hos många organisationer idag är att förändringstakten varit hög och att säkerheten inte alltid har varit en huvudprioritet under projekten, utan något man försöker lägga på i efterhand. Detta innebär en problematik. En agil versamhet innebär inte per se en ökad sårbarhet, men en agil miljö utan en säkerhetsarkitektur gör det i allra högsta grad. 

Transformera utan att öka sårbarheten

Det är inte längre möjligt att arbeta statiskt med säkerhet uppdelat på server, applikation och nätverk – idag sitter dessa delar ihop i integrerade miljöer. Allt är dessutom dynamiskt; man släpper in kunder och partners, och kanske migreras två bolag och nya anställda behöver släppas in i miljön. Detta ställer nya krav på säkerhetsarbetet.

– Om man historiskt sett gjorde ett misstag i en intern miljö hade man fortfarande ett perimeterskydd som kunde reducera risken, men idag när många arbetar i publika molnmiljöer kan ett misstag eller en sårbarhet få betydligt större konsekvenser. Företag behöver därför bygga in säkerhet i lösningarna från början för att kunna hänga med i den här transformationen utan att öka sin sårbarhet, menar Stefan Lager.

När agila principer är avgörande för företagens konkurrenskraft måste säkerhetsarbetet utformas smart så att säkerheten inte drar ner hastigheten hos verksamheten.

– I viss mån kommer säkerhetsarbetet alltid ha en påverkan på agiliteten (det går fortare om man aldrig gör några kontroller). Det går dock att bygga väldigt effektiva säkerhetsarkitekturer som drar nytta av automatisering och moderna verktyg för att nå den balans man behöver mellan risk och agilitet.

Som utgångspunkt menar Stefan Lager att det handlar om att förstå alla delar och hur de hänger ihop för att kunna kartlägga var man som företag är sårbar. Därefter behövs en riskanalys för verksamheten som innefattar vilka risker som finns – samt en plan för hur man ska hantera dem.

– Man måste som verksamhet ställa sig frågorna; Vad händer om vi flyttar upp all vår känsliga data i azure eller aws? Vad kan inträffa? Hur kan vi skydda oss? Och när vi tänkt på det – hur kan vi bygga förmåga att upptäcka sådant vi inte kan skydda oss mot? Hur verifierar vi löpande att vi har den skyddsnivå och detektionsförmåga som vi tror – och som vi behöver?

Förmågorna ett företag behöver för att klara detta omfattar både teknik, processer, kompetens och resurser;

• Har vi rätt kompetens för att utvärdera teknikvalen?
• Har vi kompetens och resurser för att driva säkerhetsövervakning dygnet runt?
• Finns processer för att hantera incidenter på plats och är dem testade?

Att transformera säkert – fyra saker att ta hänsyn till

För att transformera säkert finns det enkelt beskrivet fyra huvudkomponenter att ta hänsyn till; infrastruktur, applikationer, access och data.

Verksamheter måste säkerställa:

• att de har en infrastruktur med inbyggd säkerhet, som är rätt konfigurerad och som kontinuerligt uppdateras.
• att man vid utveckling av applikationer har säkerhetskontroller inbyggda både under utveckling och efter produktionssättning.
• att access till applikationer och data är granulärt uppsatt (Principle of least privilege) och skyddad av en stark autentisering.
• att data är skyddad under hela sin livslängd (at rest, in transit och at work).

När det gäller säkerhet i samband med digital transformation menar Stefan Lager att det viktigaste är att ta med säkerhet som en integrerad del i alla projekt och inte hantera det som ett plåster man lägger på efter att allt annat är gjort;

– Man behöver ha en god kännedom om sin egen miljö, samt förstå hotbilden innan man kan gå vidare och göra en bra design för sitt skydd. Samtidigt är det en omöjlighet att skydda sig mot allt, så nästa steg är att bygga en plan för sin detektionsförmåga för att kunna upptäcka incidenter så fort som möjligt samt bygga en incident reponse-förmåga för att kunna stoppa hoten innan de orsakar en allt för stor skada för verksamheten.

Agila arbetssätt handlar inte bara om teknikskifte utan också i allra högsta grad om människor och processer.

– Verksamheter måste titta på säkerhetsarbetet på ett holistiskt sätt och bygga in säkerhet som en integrerad del i allt de gör. Det är viktigt att det finns en nära relation mellan olika funktioner, t.ex de som upptäcker hot och de som snabbt kan konfigurera om utrustning för att begränsa skadan av detta hot. Först med detta angreppssätt kan företag minska sin sårbarhet i det nya IT-landskapet och samtidigt säkerställa fortsatt agilitet och framtida konkurrenskraft.

Vill du ha hjälp med cybersäkerhetsarbetet? Vi har stor erfarenhet av att designa och driftsätta säkerhetslösningar som är anpassade efter din verksamhets krav på proaktivitet, tillgänglighet och säkerhet.

Läs mer om Ivers erbjudande inom cybersäkerhet.