Slik jobber Altibox med sikkerhet, og dette kan din bedrift gjøre i dag
Sikkerhet er ikke et prosjekt som blir 'ferdig'. Det er daglig drift. Hos Altibox handler det om struktur, kultur og kontinuerlig forbedring – og om å gjøre det lett for bedrifter å ta kloke valg. Her får du innsikt i hvordan vi jobber, og helt konkrete råd du kan bruke med én gang.
Hva betyr god informasjonssikkerhet – i praksis?
– Bedriften må ha kontroll på hvilke verdier den forvalter, og hvordan de skal beskyttes. Da blir man en aktør andre kan stole på, sier Nina Kriegler, risk advisor i Altibox.
Hva har bedriftens størrelse å si for dette?
– Når noe først skjer, kan konsekvensene treffe økonomi, omdømme og drift kraftig – uansett om du driver en liten, mellomstor eller stor virksomhet. Selskaper som jobber proaktivt med å sikre verdiene sine og begrense konsekvensene av uønskede hendelser, står langt sterkere når de må reise seg igjen, forklarer hun.
Slik jobber Altibox Bedrift – hver dag
Altibox Bedrift jobber kontinuerlig og strukturert med å beskytte infrastruktur, objekter, data, systemer og mennesker.
– Arbeidet med informasjonssikkerhet bør være forankret i ledelsen, integrert i prosesser – og dyrket som del av kulturen. Målet er at sikkerhet ikke skal være et sidespor, men en naturlig del av hverdagen, påpeker Kriegler.
Vi tester oss selv – hele tiden
Penetrasjonstesting er et simulert angrep der det brukes kjente metoder og verktøy for å finne svakheter i IT-tjenester. Nina Kriegler forklarer at kontinuerlig testing og forbedring er nøkkelen til å lykkes.
–Funnet følges opp, tettes og testingen repeteres. Slik holder vi tjenestene så trygge og stabile som mulig, forklarer hun.
Når noe faktisk skjer
I hendelseshåndtering må organisering, prosess, roller og ansvar være krystallklare. Det nytter ikke å begynne dette arbeidet når hendelsen har funnet sted.
–Hvem varsles? Hvem gjør hva? Dette er forankret i beredskapsplanverk. Vi øver, har erfaring og en kultur der alle hjelper til når det trengs, sier Kriegler.
Hva bør bedriften selv gjøre?
– Varsle raskt og til riktige personer/instanser. Vær ydmyk og åpen – det fremmer samarbeid og effektiv håndtering, sier hun.
Mennesker, teknologi – og sikkerhetskultur
Teknologi alene løser ikke sikkerhet. Like viktig er holdninger og rutiner i organisasjonen. Trusselaktører leter etter svakeste ledd – uansett om det er menneskelig, teknisk eller organisatorisk.
– Du er ikke sterkere enn det svakeste leddet. Trusselaktører leter etter akkurat den sårbarheten – teknologisk, organisatorisk eller menneskelig. Derfor må vi investere i kompetanse, bevisstgjøring og opplæring, understreker Kriegler.
I praksis betyr dette at ansatte trenes i å gjenkjenne situasjoner der det er lett å trå feil – særlig i kanaler som e-post, chat og nettleser.
– Vi ser stadig mer sofistikerte forsøk på å få brukere til å klikke – via nettleser, chat eller e-post. De er ofte vanskeligere å skille fra ekte kommunikasjon.
Trusselbildet for små- og mellomstore bedrifter
– kort fortalt
Kriegler peker på to utviklingstrekk:
Leverandørkjeden: Trusselaktører forsøker å nå større mål via mindre ledd, hvor SMB-bedrifter kan bli angrepsvei.
Det andre er innsiderisiko, som øker i en mer urolig geopolitisk situasjon.
– Poenget er ikke å skremme, men å gjøre det enkelt å være klok. Kjenn verdiene dine, jobb strukturert, og tren folkene dine, konkluderer Nina Kriegler, risk advisor i Lyse for Altibox.
• Gjør en rask egenkontroll før du klikker
• Gikk pulsen opp?
• Er det kort tidsfrist?
• Kommer det fra noen med autoritet?
• Knyttes det til noe “stort” som skjer i bedriften eller samfunnet?
Er svaret ja på noe av dette – sjekk med IT/avsender før du trykker
Seks konkrete grep du kan innføre i dag:
• Forankre ansvar: Avklar roller, kontaktpunkter og eskalering ved hendelser.
• Øv kort og ofte.
• Kartlegg verdier: Hva må beskyttes, hvor ligger det, og hvem har tilgang?
• Stram til tilgang: Minimer rettigheter (“minste privilegium”), og rydd i tilganger jevnlig.
• Tren folk: Korte sikkerhetshygiene-økter hver måned slår årlige maratonkurs.
• Oppdater og overvåk: Hold systemer oppdatert og følg med på avvik i drift. Reager raskt.
