Sikkerhetsmåneden oktober har utspilt sin rolle

Dette har blitt diskutert tidligere, men vi sitter igjen med en følelse av at konseptet nærmer seg slutten.

Vi skulle gjerne sett at man fikk revitalisert konseptet eller kanskje aller helst fokusert på en ny og bedre tilnærming. Nå tror vi tiden er moden for et mer kontinuerlig sikkerhetsfokus, både når det gjelder bevisstgjøring og generell IT-sikkerhet.

Vi har i flere år jobbet mot mer kontinuitet i sikkerhetsarbeidet. I sin enkleste form betyr dette kvartalsvis sikkerhetsfokus med faste sikkerhetsmøter med kunder. Så langt viser dette en tydelig forbedring i sikkerhet, sikkerhetsfokus og kultur.

Det er ikke noe nytt at sikkerhetsprosessen er kontinuerlig og at vi kontinuerlig må jobbe med sikkerheten. Men på tross av at mange virksomheter er klar over at dette er et løpende arbeid, evner mange av disse ikke å jobbe kontinuerlig og strukturert med sikkerhet. Dette gjelder kanskje spesielt SMB-bedrifter og offentlig sektor med begrensede ressurser. Årsaken er ofte en kombinasjon av manglende kompetanse, ressurser og en lite utviklet sikkerhetskultur.

I Fence har vi i lang tid jobbet med sikkerhetsmøter med våre kunder. Dette er ikke et tillegg, men en del av kundeforholdet når vi leverer sikkerhetstjenester som f.eks. sikkerhetsovervåking (MDR/SOC) og sårbarhetsadministrasjon (MVR/MVM). Vi har så gode erfaringer med denne samhandlingen at vi implementerer det i flere og flere av våre leveranser, både innen sikkerhetstesting og mer tradisjonelle sikkerhetsprodukt-leveranser.

Vårt mål er å hjelpe til med å bedre sikkerheten. Vi gjør dette ved å diskutere og dokumenterer status hos virksomheten, basert på sikkerhetshendelser, sårbarheter og hvordan det jobbes internt med sikkerhet. Det er viktig for oss at vi tilpasser oss modenheten til virksomheten og nivået av sikkerhet som er påkrevd.

Vi deler kunnskap og erfaringer fra andre kunder, gjennomfører penetrasjonstesting, og hvilke aktive trusler vi ser i vår SOC. Basert på denne kunnskapen kan vi gi råd om enkle og effektive tiltak. Vi ønsker å hele tiden ta nye skritt, utnytte eksisterende løsninger, forbedre rutiner og administrative tiltak. Vi skal gi enkle og ærlige tilbakemeldinger, men fokusere på forbedring på de meste kritiske områdene. Det er viktig å ikke fokusere på alt samtidig, men jobbe jevnt og trutt år etter år.

Vi har utelukkende fått positive tilbakemeldinger på vår tette oppfølging. Vi ser at bedriftene tar stadige nye skritt i å bedre sikkerheten sin og at metoden skaper en ny motivasjon.

Motivasjonen og følelsen av kontroll tror vi kommer fordi vi fokusere hele tiden på små men viktige forbedringer. Så samtidig med at sikkerheten forbedres ser vi en forbedring av struktur, kontroll og at sikkerhetskulturen bedres.

Vi har alltid hatt effektive og målbare sikkerhetstiltak som en grunnleggende verdi. Dette handler ikke om produkt, men om å utnytte verktøyene man har i best mulig grad, få mest effekt ut av eksisterende tiltak og å kunne måle eller dokumentere forbedring.

Sammen med god sårbarhetsadministrasjon og evne til å oppdage datainnbrudd har dokumentasjon blitt viktigere. Man må kunne dokumentere sikkerhetsprosesser, kontinuitet i sikkerhetstesting, og forskjellige rutiner.

Vi ser også at behovet er økende for å ha et sikkerhetsforum hvor man har tid til å diskutere sikkerhet, teknologi, bevisstgjøring og kompetanse.

For de fleste er totalen av disse oppgavene overveldende og de ønsker bistand med kompetanse, hjelp til å styre, og å følge opp sikkerhetsarbeidet. Så da passer det ofte godt at vi tar ansvar for gjennomføring av sikkerhetsmøter, og fungerer som en prosjektleder, arrangør og sørger for progresjon og forbedringer.

Vårt mål er alltid å gjøre kunden sikrere, komme med enkle tiltak for å ta det neste skrittet, bli mindre sårbar, kontinuerlig bevisstgjøring, ha bedre rutiner, oppdage hendelser raskere og bedre.

Vi mener at sikkerhetsmåneden oktober er utdatert. Fokus på sikkerhet årlig på denne måten er utdatert. For mange virksomheter har bevisstgjøring blitt en årlig hendelse, og kontinuitet i sikkerhetsarbeidet er synonymt med årlig. Vi mener sikkerhetsmåneden har blitt en falsk trygghet og et alibi for at man jobber godt nok med sikkerhet. Virksomheter i dag har behov for kontinuitet i sikkerhetsarbeidet.

Ta kontakt med oss!