Vi ställde några frågor till Mårten Thomasson och Rehanna Gerleman, som håller i Cyber Risk Management-programmet på IFU, för att förstå mer och ta del av deras tips om hur företag kan hantera riskerna för attacker.

Varför bör organisationer prioritera hanteringen av cyberrisker?

– En förståelse för cyberrisker är en förutsättning för att prioritera rätt och implementera strategier för att minska eller hindra skadeverkningarna av cyberangrepp. Tyvärr uppfattas cyberrisker som abstrakta och är generellt inte föremål för samma typ av strukturerad riskhantering som till exempel den finansiella styrningen av organisationer. Vi ser ofta att det strategiska cyberarbetet påbörjas på allvar först när organisationen eller andra i samma bransch drabbas av ett angrepp.

Hur orolig bör man vara?

– Ordentligt orolig. Området är så lukrativt att det gått om den globala droghandeln i omfattning.

Vems är ansvaret för att förhindra attackerna?

– Ytterst hamnar ansvarsfrågan hos högsta ledningen och behöver därifrån förmedlas ut i verksamheten. I dag finns det ett gap mellan IT och övrig verksamhet på alldeles för många företag. IT är ett nyckelområde, precis som ekonomi eller rekrytering, och borde hanteras på samma sätt. För varje förvaltningssystem behöver det finnas en ägare som ansvarar över det, så att all verksamhet taktar tillsammans. Samarbete ger positiva konnotationer i hela organisationen.

Varför ska jag som ledare utbilda mig om cyberrisker och inte skicka någon annan?

– Kunskapen bör finnas där ansvaret sitter. Personer i ledande befattningar behöver vara insatta i cyberriskerna för att kunna fatta korrekta beslut och navigera rätt.

 


Mårten och Rehannas tips för att undvika cyberattacker:

    1. Lär er vilka typer av angripare ni förväntas drabbas av och skydda er mot dessa. Att förstå hur cyberangrepp går till och att arbeta med scenarier kring var i infrastrukturen ett angrepp kommer ske är två strategiska tillvägagångssätt. Jobba med exempel ur verkligheten för att öka relevansen. Hur ska vi undvika att hamna i knipa? Ni behöver fundera över vilka mål, såväl personal som tillgångar, som är särskilt skyddsvärda, samt hur er befintliga riskexponering ser ut.
    2. Satsa budgeten på det som ger mest effekt. Genom att prioritera rätt och arbeta strategiskt kan ni göra mycket för att höja motståndskraften. Det är bättre att ha en plan än att arbeta akut och släcka bränder när attacken är ett faktum. Ta reda på vad som är rätt för just er.
    3. Riv ned de fiktiva väggarna mellan avdelningarna, öka förståelsen genom att diskutera öppet mellan avdelningarna och var strukturerad. Gör en gemensam riskanalys: hur ser kostnadsbilden ut vid cyberangrepp? ”Hur stor är risken att drabbas av ett angrepp som krypterar våra maskiner och vad blir konsekvenserna av det?”  Varje minut som vi hamnar i stillestånd i verksamheten är en monetär förlust.
    4. Workshoppa tillsammans. Samla olika personer i rummet som inte träffas så ofta – CIO och CISO, verksamhetschef, representanter för HR, juridik och teknikområden som till exempel arbetsplats, serverplattform och utveckling – och diskutera. Detta möte är väldigt intressant eftersom många uppvaknanden sker här.

 


Mårten Thomasson, grundare och VD på Addlevel, har jobbat med säkerhet mot stora organisationer inom bank, finans och svensk industri i snart 20 år. Han är en ledande expert inom informationssäkerhet, med uppdrag som sträcker sig från etablering av säkerhetsstrategier, säkerhetsdesign och arkitektur och agerar som säkerhetsrådgivare för internationella företag och ledningsgrupper.

Rehanna Gerleman är jurist och informationssäkerhetskonsult med erfarenhet från såväl kommunal och statlig som privat sektor. Tillsammans med Mårten utbildar hon dataskyddsombud samt agerar som rådgivare för banker och försäkringsbolag, bland annat inom GDPR och informationssäkerhet.

 


 

Relaterade program