Nytt
– Viktig å vite hva slags risiko man utsettes for
Et mer mobilt og fleksibelt arbeidsliv setter sikkerheten på prøve. Sikkerhetsdirektøren i Telenor påpeker at ikke alt dreier seg om data og it.
Marius Rosbach
28.10.2019
Arbeidslivet digitaliseres i økende grad og det kan være vanskelig å holde tritt med hva som finnes av trusler mot bedriftenes sikkerhet. Sikkerhetsdirektør Hanne Tangen Nilsen i Telenor Norge mener noe av det viktigste bedrifter og ansatte gjør, er å kartlegge hvor man står.
– Det er viktig å vite hva slags risiko man utsettes for, og hvilke evner man har til å håndtere den. Så må ledelsen vurdere om det er en risiko man er villig til å leve med, eller noe som man absolutt må gjøre noe med, forteller hun til NETT NO.
Hun mener den største utfordringen er å faktisk prioritere sikkerhet.
– Det koster penger, og da er det om å gjøre å skape forståelse for risikoen. Det kan være ulike typer - både risikoen for ikke å tjene penger, at personvernopplysninger ikke håndteres riktig, eller det kan være it-sikkerhet.
– Poenget er at man må få det integrert i bedriftskulturen. Det handler om å gjøre sikkerhet til noe alle bryr seg om, og ikke bare den som er sikkerhetsansvarlig, sier hun.
I Telenor Norge har alle lederne ansvar for risikostyring. Nilsen er den som setter krav til organisasjonen og hvilke prosedyrer som skal følges. Selskapet gir også ut en som forteller hva de gjør for å beskytte egen virksomhet – og samfunnet – mot trusler.
– Pc-en vi bærer med oss hele tida er et typisk mål, eller det vi kaller angrepsvektor. Da dreier det seg om å ha oppdatert programvare og gjøre det vanskelig for kriminelle som kan utgjøre en trussel. Der kan man få hjelp fra en profesjonell leverandør, legger hun til.
Nilsen sier man må tenke gjennom hvordan man beskytter seg ute på reiser, og påpeker at det er tryggere å bruke eget 4G-nett via telefonen, enn å koble seg til åpne trådløse nettverk.
Hun understreker at informasjonssikkerhet også handler om mer enn det som skjer via pc-er, mobiltelefoner eller nettverk.
– Sikkerhet handler ikke bare om it, men også om hvem du snakker med og hva du snakker om. Det er også viktig å tenke gjennom hvor man snakker om bedriftsinformasjon. Om du snakker med noen i mobiltelefonen på toget, eller med en kollega på bussen, så tenker man kanskje ikke over at informasjonen kan være relevant for andre, forteller hun.
– Ofte blir sikkerhet sett på som en forsikringskostnad og mange tenker nok at det er lite sannsynlig at de blir utsatt for noe. Likevel er det ingen grunn til å svartmale situasjonen og det er veldig god bevegelse i næringslivet på dette feltet, forteller hun.
– Det kommer an på hva du jobber med. Det viktigste er kanskje å finne ut hvilke verdier bedriften har, som er viktig å beskytte. Om man ikke har egen kompetanse, så bør man søke hjelp, påpeker hun.
Om bedrifter ender opp med å kjøpe tjenester, mener hun det er viktig å sette krav. Om bedrifter har verdier som ligger på servere hos en tredjepart, så bør det settes krav til at de skal beskyttes.
Nilsen påpeker at det også er viktig å sjekke at kravene blir fulgt og anbefaler å bruke ISO-standarder som er utviklet til formålet.
– Det er et godt første steg på veien, påpeker hun.
– Jeg mener myndighetene gjør mye bra, blant annet med opprettelsen av et nasjonalt cyberkrimsenter. Det er også tilgang på mye informasjon som det er mulig å omsette i praksis i egen bedrift, forteller hun.
Samtidig får oppvoksende generasjoner i stadig større grad inn digital kompetanse helt fra barnehagealder.
– Det er også viktig at vi for eksempel utdanner ingeniører som forstår sikkerhet og personvern, slik at det blir en naturlig del av alt vi gjør.
(ekstern lenke)
– Det er viktig å vite hva slags risiko man utsettes for, og hvilke evner man har til å håndtere den. Så må ledelsen vurdere om det er en risiko man er villig til å leve med, eller noe som man absolutt må gjøre noe med, forteller hun til NETT NO.
Hun mener den største utfordringen er å faktisk prioritere sikkerhet.
– Det koster penger, og da er det om å gjøre å skape forståelse for risikoen. Det kan være ulike typer - både risikoen for ikke å tjene penger, at personvernopplysninger ikke håndteres riktig, eller det kan være it-sikkerhet.
Et felles ansvar
«Sikkerhetskultur, nei det har vi slutta med», var tittelen på innlegget til sikkerhetsdirektøren på et seminar ved Ålesund kunnskapspark forrige uke. Nilsen påpeker at det på ingen måte innebærer en nedprioritering av temaet.– Poenget er at man må få det integrert i bedriftskulturen. Det handler om å gjøre sikkerhet til noe alle bryr seg om, og ikke bare den som er sikkerhetsansvarlig, sier hun.
I Telenor Norge har alle lederne ansvar for risikostyring. Nilsen er den som setter krav til organisasjonen og hvilke prosedyrer som skal følges. Selskapet gir også ut en som forteller hva de gjør for å beskytte egen virksomhet – og samfunnet – mot trusler.
– Pc-en vi bærer med oss hele tida er et typisk mål, eller det vi kaller angrepsvektor. Da dreier det seg om å ha oppdatert programvare og gjøre det vanskelig for kriminelle som kan utgjøre en trussel. Der kan man få hjelp fra en profesjonell leverandør, legger hun til.
Mer enn bare data-sikkerhet
Norge ligger langt framme sammenlignet med mange andre land når det gjelder digitalisering – og tilsvarende når det gjelder sikkerhet. Men et mer mobilt arbeidsliv innebærer større risiko.Nilsen sier man må tenke gjennom hvordan man beskytter seg ute på reiser, og påpeker at det er tryggere å bruke eget 4G-nett via telefonen, enn å koble seg til åpne trådløse nettverk.
Hun understreker at informasjonssikkerhet også handler om mer enn det som skjer via pc-er, mobiltelefoner eller nettverk.
– Sikkerhet handler ikke bare om it, men også om hvem du snakker med og hva du snakker om. Det er også viktig å tenke gjennom hvor man snakker om bedriftsinformasjon. Om du snakker med noen i mobiltelefonen på toget, eller med en kollega på bussen, så tenker man kanskje ikke over at informasjonen kan være relevant for andre, forteller hun.
– Ingen grunn til å svartmale
NETT NO har skrevet flere artikler som tyder på at det er behov for å jobbe mer bevisst med datasikkerhet i næringslivet på Nordvestlandet.– Ofte blir sikkerhet sett på som en forsikringskostnad og mange tenker nok at det er lite sannsynlig at de blir utsatt for noe. Likevel er det ingen grunn til å svartmale situasjonen og det er veldig god bevegelse i næringslivet på dette feltet, forteller hun.
Les mer:
Datakrimjeger:
Kan få hjelp – men sett krav
Sikkerhetsdirektøren mener «alle» forstår at temaet er viktig, men at det kan være en utfordring å komme fram til hvordan det skal løses i hver enkelt bedrift.– Det kommer an på hva du jobber med. Det viktigste er kanskje å finne ut hvilke verdier bedriften har, som er viktig å beskytte. Om man ikke har egen kompetanse, så bør man søke hjelp, påpeker hun.
Om bedrifter ender opp med å kjøpe tjenester, mener hun det er viktig å sette krav. Om bedrifter har verdier som ligger på servere hos en tredjepart, så bør det settes krav til at de skal beskyttes.
Nilsen påpeker at det også er viktig å sjekke at kravene blir fulgt og anbefaler å bruke ISO-standarder som er utviklet til formålet.
– Det er et godt første steg på veien, påpeker hun.
Mye nyttig informasjon
Nilsen mener det er nyttig at norske myndigheter i stor grad er åpne om hva slags trusselvurderinger de gjør og hvilke metoder de kriminelle opererer med.– Jeg mener myndighetene gjør mye bra, blant annet med opprettelsen av et nasjonalt cyberkrimsenter. Det er også tilgang på mye informasjon som det er mulig å omsette i praksis i egen bedrift, forteller hun.
Samtidig får oppvoksende generasjoner i stadig større grad inn digital kompetanse helt fra barnehagealder.
– Det er også viktig at vi for eksempel utdanner ingeniører som forstår sikkerhet og personvern, slik at det blir en naturlig del av alt vi gjør.
Les også:
Seriegründerens råd:
(ekstern lenke)
Publisert: 28.10.2019 16:02
Sist oppdatert: 10.02.2021 14:42