Richard Horne är säkerhetsexpert på PWC i Storbritannien. Han missionerar för ett ökat säkerhetsmedvetande, Hans budskap är enkelt att formulera, men svårt att genomföra: It-säkerhet måste genomsyra allt ett företag gör.
Hur ska det gå till?
– It-säkerhetschefen på ett företag måste genomdriva en förändring i inställningen. Han eller hon måste utmana företaget, säger Richard Horne.
Det är långt i från alla företag, åtminstone mindre, som har en dedicerad it-säkerhetschef, eller cso som är titeln som ofta används.
Vilka personer lämpar sig för att bli it-säkerhetschefer?
– Det är olika, men man bör nog ha en del teknikbakgrund. En it-säkerhetschef bör vara duktig på att kommunicera och på att skapa relationer. Det är en fördel om personen har varit länge på företaget.
Läs mer: Äldre chefer bättre lagspelare än yngre
Det låter som en beskrivning av kraven på de flesta roller på ett företag. Det som skiljer mot de flesta andra befattningar är naturligtvis den tekniska bakgrunden. Det finns utbildningar, Stockholms universitet har till exempel ett tvåårigt masterprogram i informationssäkerhet. Inträdeskravet är en kandidatexamen.
Låt oss anta att man hittar en lämplig it-säkerhetschef. Hur ska den personen lyckas med den kanske största utmaningen, att få en helhetsbild av säkerhetsfrågorna på ett företag?
– Man måste förstå hur företaget fungerar, vilka de kritiska processerna är, samt förstå personalens sammansättning och även de tekniska detaljerna.
Om vi återvänder till Hornes grundtes, att it-säkerhet måste genomsyra allt ett företag gör, så är frågan hur läget är i dag. Förstår de flesta på ett genomsnittligt företag det?
– På de stora bankerna förstår man det här. På försäkringsbolag, investmentbolag och nyare typer av finansbolag börjar man förstå, likaså hos återförsäljare. Det är viktigt att de här frågorna tas upp på styrelsenivå.
Läs mer: Är det chefen som är dålig eller är det du som är dålig på att hantera chefen?
Och det är viktigt att förstå hur säkerhetsproblem slår mot kunderna. Ett problem som ter sig litet för den ansvarige chefen, eftersom den totala omfattningen är liten, kan få katastrofala följder för enstaka kunder, med imageproblem för det drabbade företaget som följd.
Så hur skapar man ett säkerhetsmedvetande?
– Man kan titta på de verkliga hot som finns, utan att försöka skrämmas genom att skapa sensationer. Ett sätt att göra beskrivningarna konkreta är att låta ett team simulera intrång.
Richard Horne på PWC delar upp it-säkerhetsarbetet i tre övergripande delar:
- Tekniska skydd, till exempel brandväggar.
- Att övervaka och bedöma händelser, samt bestämma åtgärder.
- Interna revisioner.
