Sikkerhetsreisen er ikke en sprint, men en maraton

På et webinar i regi av TietoEVRY forteller Øyvind Hirsch i Bertel O. Steen om den «sikkerhetsreisen» selskapet har startet på med å gå fra teknologifokus til å bli sikkerhetsbevisst, metodisk i arbeidet og ha god ledelsesforankring.

Bertel O. Steen er en av Norges største bilkonsern, og har i tillegg en omfattende virksomhet som dekker eiendom, industri og investeringer. I løpet av få år har konsernet gjennomført en betydelig fornyelse av sikkerhetsarbeidet.

Fra silo til holistisk fokus

Utgangspunktet var ikke dårlig, men det var likevel ting å jobbe med.

«Vi hadde bra tekniske løsninger, men vi var silobasert og ekstremt mye arbeid var manuelt. Høyrearmen visste ikke hva venstrearmen gjorde», sier Hirsch.

Øyvind Hirsch, IT direktør i Bertel O. Steen

Selskapet startet med en benchmark for å måle hvordan deres sikkerhetsarbeid var i forhold til andre bedrifter. Selve målingen omfattet blant annet ISO/IEC 27001, og utfordringene frem mot ny personvernforordning og GDPR.

«Vi slo sammen enhetene nettverk og sikkerhet, for å sikre at fagmiljøene kunne jobbe tett sammen. Videre ansatte vi en dedikert IT sikkerhetsleder som forstår sikkerhet og business. Vi har en kompleks leveranseprosess, og det er viktig at vi får med oss alle, og vi jobber nå mer systematisk», sier Hirsch og legger til at det tar tid før sikkerhet blir en del av ryggmargsrefleksen i en organisasjon. Det er viktig å få toppledelsen med til å ta lederskap og fronte sikkerhetsarbeidet.

Har bygget en motorvei med autovern

Øyvind Hirsch trekker frem tre viktige effekter som Bertel O. Steen har oppnådd gjennom sikkerhetsarbeidet. For det første færre siloer i forhold til sikkerhet. Dernest full ende til ende visibilitet fra klient til internett. Den tredje effekten han trekker frem er at man nå kan automatisere deler av sikkerhetsarbeidet slik at kompetansen kan brukes mer proaktivt.

«Vi har bygget en motorvei med autovern», sier han og lister opp noen konkrete erfaringer:

• Registrerer alle sikkerhetshendelser i et sakssystem
• Operative prosedyrer er på plass i et robust, enkelt styringssystem – og testet
• Analyserer 2 milliarder logglinjer i måneden
• Vi stopper rundt 95% av all innkomne mail
• Vi stopper 100 + phishing-forsøk i måneden
• Sikkerhetsøvelser på nettsikkerhet blir kontinuerlig utført
• Arbeide med kontinuerlig forbedring opp mot NSM sine prinsipper og ISO27001

Han har også noen råd til andre type virksomheter er:

• Sikre endepunkter:
  • Beskytter enheter både online og offline, uansett hvor du eller dine ansatte befinner dere og erstatter vanlige antivirus programmer.
• Sikker nettsurfing:
  • Dette sikkerhetslaget fungerer som et førstelinjeforsvar og sikrer at du og dine ansatte surfer sikkert på nettet og ikke blir ofre for phishing.
• Sikker e-post:
  • Kryptere e-poster og beskytte mot tap av informasjon som er konfidensiell og gradert, og undersøke innkomne e-poster og vedlegg.

Prioriterte punkter for sikkerhetsarbeidet fremover

«Du er ikke alene om dette. Dette er noe alle jobber med. Det å tørre å være åpen og å være sårbar. Konkret, skaff deg en sikkerhetspartner enten det er en firmarelasjon, eller noen som jobber med dette. Hvem du velger, må du føle på selv, men du trenger et team rundt deg», sier Hirsch. 

Noen konkrete eksempler som er verdt å vurdere:

• Fjern alt av lokal admin
• Bruk to-faktor autentisering
• Øve på sikkerhetshendelser - evaluere
• Få sikkerhet som ryggmargsrefleks og «snakkis» gjennom trening
• Jobbe sammen med partnere, for sikkerhet kan du ikke fikse helt alene
• Utfordre og søke kontinuerlig forbedring
• Automatisere og sammenstille enda mer logger – tolke og bruke forståelse

«Hackerne kan komme inn likevel. Derfor er det viktig å ha en god back-up og re-store strategi. Alt bør settes i et system i form av risikostyring, og på denne måten bidra til å sikre verdier», sier konstituert IT direktør Øyvind Hirsch i Bertel O. Steen.