Nya processer och en produktutveckling som sker i allt snabbare takt ställer stora krav på it-säkerheten. Säkerhetstänket i den digitala transformationen har visserligen ökat men fortfarande kämpar de som ansvarar för it-säkerheten med att hänga med.

Vår amerikanske systertidning CSO har listat några av de utmaningar som säkerhetsansvariga är mitt inne i.

Utmaning: Hålla samma tempo
– Slaget som vi utkämpar rör sig snabbare än vår beslutscykel, säger forskaren Abel Sanchez på MIT: laboratorium för tillverkning och produktivitet.

Hans slutsats är att agilitet, flexibilitet och snabba beslut krävs även på säkerhetssidan.

För den globala it-säkerhetschefen på Schneider Electric, Christophe Blassiau, ligger cybersäkerhet högst upp i hans transformationsstrategi. Men han har haft problem med att få en bild av hur det ser ut i hela verksamheten – med komplexa samband av förvärv och olika aktiviteter från utveckling till logistik till tjänster. Samtidigt som integration av olika it-system gör att nya delar kopplas ihop, skapar nya datakällor och därmed också nya säkerhetsrisker.

För att komma åt det införde Christophe Blassiau en ny styrning av cybersäkerheten i hela företaget där man såg över behörigheter och annat och också bäddade in cybersäkerhetsansvariga i olika delar av verksamheten något som gav honom en bättre känsla av kontroll.

– Jag ville inte starta fler team eftersom det ger intrycket att det kommer att fixas av någon annan. Här är säkerhet allas ansvar.

Förändra sin egen kultur
Kulturen på it- och säkerhetsavdelningarna är också avgörande för att hänga med i den digitala transformationen.

– Säkerhetsteamen måste också förändras, säger Abel Sanchez.

Men det är lättare sagt än gjort – bland annat kräver det kompetensutveckling och nya kompetenser.

En del kan lösas med omorganisation – exempelvis går det alltmer emot att testare ersätts av utvecklare konstaterar han.

– Vem vet bättre hur en produkt ska skyddas än den som skapat den, säger Abel Sanchez.

Samtidigt har många säkerhetsteam blivit mer lättillgängliga för verksamheten på senare tid enligt Matt Handler, chef för NTT:s säkerhetsenhet för USA.

– Säkerhetsteamen håller på att lära sig att de inte kan vara ”nej-kontoret” hela tiden. De måste vara agila, flexibla och ses som möjliggörare i stället för att ses som de som alltid bromsar.

Även it-säkerhetscheferna måste utvecklas och ta på sig rollen som intern rådgivare och samarbetspartner till de avdelningar som tar fram ny teknik.

– I stället för att säga nej, säg ”låt oss se hur vi kan göra det här så snabbt som möjligt och säkert”. Bara den frasen tror jag kan vara en gamechanger för en it-säkerhetschef.

Baka in säkerheten
Om det är något it-säkerhetschefer brukar tjata om är det att säkerheten måste vara med från början i designprocessen. Tack vare att komponenterna blivit allt mer smidiga och dynamiska har det faktiskt blivit lättare att leva efter – inte minst genom molnet där det ofta finns säkerhet inbyggt framhåller Pete Lindstrom som är it-säkerhetsanalytiker på IDC.

Och ju mer stacken byggs på kan företagen röra sig allt mer från nätverksbaserad säkerhet och mer mot applikationer.

En annan trend är cybersäkerhetsföretag som använder sig av maskininlärning för att snabbare hitta och möta hot. Företag som har mycket säkerhetsdata kan kombinera algoritmer, analys och maskinlärning för att identifiera och reagera mot hot blixtsnabbt – nästan lika snabbt som de dyker upp.

Maskinerna blir dock aldrig bättre än de data som de matchas emot och det kommer att ta tid. Men om det lyckas är det en drömsituation för en it-säkerhetschef konstaterar Matt Handler.

– Om du klarar att säkra upp snabbt, hjälpa företaget att fortfarande uppnå sina milstolpar och mål och säkerhet bakas in i processen från början – ja då har du verkligen lyckats. Men det ligger definitivt långt fram i tiden, säger Matt Handler.

Läs också: 
Dobos: ”Säkerhet är inte att vara hemlig – säkerhet är att vara öppen”
Nu stärker företagen sitt skydd – cyberförsäkringar exploderar