“Ett av tre konsentrerte og målrettede dataangrep lykkes.”

ACCENTURE HIGHPERFORMANCESECURITY REPORT 2016NORWEGIAN RESULTS

Mange motsetninger Tegn til for høy selvsikkerhet

Accenture-rapporten «High Performance Security Survey 2016» avslører at de fleste respondentene er trygge på at de gjør det som er riktig innenfor nettsikkerhet – 72 (75)* prosent sier de har tiltro til sikkerhetsstrategiene sine. I tillegg sier 70 (70) prosent at virksomheten deres på alle måter har innebygd sikkerhet i bedriftskulturen sin, at dette er et tema i styret, og at topplederne også støtter opp om arbeidet. Samtidig avslører undersøkelsen at virksomhetene opplever urovekkende mange sikkerhetsbrudd. En gjennomsnittlig virksomhet vil i gjennomsnitt bli utsatt for 131 (106) målrettede sikkerhetsangrep hvert år, og hvert tredje forsøk vil lykkes. Dette utgjør minst tre vellykkede angrep i måneden. Denne mangelen på samsvar avslører en tydelig selvmotsigelse når det gjelder nettsikkerhet.

Problemet blir ofte forsterket av at det tar så lang tid å oppdage sikkerhetsbruddene. Omtrent som i andre studier innrømmer 51 (51) prosent at det tar flere måneder å oppdage vellykkede sikkerhetsbrudd, mens 11 (17) prosent oppgir at det kan ta et år eller mer. I tillegg er det slik at de interne sikkerhetsavdelingene bare oppdager 65 (65) prosent av de vellykkede angrepene, og at det stort sett er ansatte, rettsvesenet eller hackere med gode hensikter som oppdager resten.

Accenture har gjennomført en spørreundersøkelse med 2000 sikkerhetsledere over hele verden – inkludert 114 i Norge – dels over nettet og dels over telefon. Bedriftene de representerer, har en omsetning på minst 1 milliard dollar, og de kommer fra en rekke regioner og bransjer. Målet var å finne ut hvordan selskapene prioriterer nettsikkerhet, hvor omfattende planer de har for dette, og hvordan de prioriterer pengebruken.

Hvor kommer de alvorligste truslene fra?

Det kan være utfordrende å vite hvilke sikkerhetstiltak man skal prioritere for å beskytte virksomheten. I snitt mener 42 (50) prosent av de spurte i undersøkelsen at det er interne sikkerhetsbrudd som har størst konsekvenser for nettsikkerheten, men to av tre respondenter sier samtidig at de ikke har tiltro til virksomhetens evne til å overvåke interne sikkerhetsbrudd. Til tross for at mange kjenner til at interne trusler kan være svært skadelig, er de fleste respondentene mest opptatt av ekstern sikkerhet. For eksempel prioriterer 38 (58) prosent å øke omfanget av sikring mot eksterne trusler i stedet for å dreie oppmerksomheten mot interne trusler med potensielt store konsekvenser.

Innse realitetene: tid for å ta en omstart av nettsikkerheten?For å overleve på dette motsetnings- og risikofylte området må virksomhetene evne å tenke nytt om nettsikkerhet. Rådene nedenfor kan hjelpe virksomheten til å se forbi feilaktige oppfatninger og håndtere de krevende truslene på en effektiv måte.

* Resultatet fra Norge først – det totale resultatet i parentes.

Copyright © 2017 Accenture. Alle rettigheter forbeholdes. 16-3856

Finn ut hva det vil si å lykkes med nettsikkerhet

Virksomhetene bør svare på disse avgjørende spørsmålene for å sette oppfatningene sine om nettsikkerhet i perspektiv og finne frem til hva det vil si å lykkes på dette området:

• Er du trygg på at du har oversikt over alle viktige verdier i selskapet og hvor de er plassert?

• Er dere i stand til å forsvare virksomheten mot en motivert sikkerhetsfiende?

• Har dere de nødvendige verktøyene og teknikkene for å stå imot et målrettet angrep?

• Vet du hva fienden er ute etter?

• Hvor ofte «øver» virksomheten på sikkerhetsplanen for raskt å kunne stoppe angrep?

• Hvordan påvirker angrepene virksomheten?

• Har du nok bevissthet om virksomheten, god nok struktur, gode nok medarbeidere og nok ressurser til å gjøre jobben din på en god måte?

Stresstest forsvaret

Ved å stressteste selskapets sikkerhet kan lederne få en forståelse av om virksomheten vil klare å stå imot et målrettet angrep. Virksomheten kan bruke eksterne hackere med gode hensikter for å «sparre» med sikkerhetsavdelingen, slik at dere raskt kan se om sikkerhetssystemet takler virkeligheten der ute.

Beskytt innenfra og ut

Angriperne vet hva de er ute etter, men gjerne ikke hvor på nettverket de finner det. Nettsikkerhetsmedarbeiderne har derimot fordelen av å vite hvilke verdier som må beskyttes. Ved å legge vekt på viktige verdier kan virksomhetene konsentrere seg om de interne truslene som kan få størst konsekvenser.

Invester for å innovere og utmanøvrere

En effektiv tilnærming kan være å se på sju hovedområder for nettsikkerhet for å finne ut hvilke sikkerhetsinvesteringer dere bør gjøre. Bare en tredjedel av respondentene sier at de har tiltro til nettsikkerhetssystemene sine på ett av de sju områdene.

• Bevissthet om virksomheten går ut på å vurdere mulige sikkerhetshendelser for å få bedre kunnskap om hvordan virksomheten kan bli rammet.

• Styring og ledelse vil si å legge vekt på ansvarlighet for nettsikkerhet, skape kultur for sikkerhet, overvåke nettsikkerheten, utvikle insentiver for ansatte og sørge for å ha en klar beslutningslinje for nettsikkerhet.

• Strategisk trusselkontekst utforsker dere for å kunne skape samsvar mellom nettsikkerhet og forretningsstrategi.

• Motstandskraft mot nettsikkerhet handler om selskapets evne til å holde oppe god drift under trusler og nettangrep.

• Beredskap mot nettangrep vil si at dere har en tydelig og god beredskapsplan, god krisekommunikasjon, utprøvde planer for å beskytte og gjenopprette verdier og beredskapsnivå, og evne til å involvere alle viktige ressurser.

• Det utvidede økosystemet bør være klart til samarbeid ved kriser, dere bør utvikle avtaler og regler for nettsikkerhet hos tredjepart, og dere bør sette dere inn i lover og regler for nettsikkerhet.

• Effektivitet i investeringer oppnår dere ved å sette søkelyset på den økonomiske siden ved investeringer på ulike sikkerhetsområder og viktigheten av at det settes av midler og ressurser til sikkerhet.

Gjør sikkerhet til en del av alles jobb

Hele 100 (98) prosent av respondentene sier at det som oftest er ansatte som oppdager sikkerhetsbrudd som ikke blir oppdaget av sikkerhetsavdelingen. Faktisk utgjør de ansatte førstelinjeforsvaret, og derfor er det viktig at selskapene prioriterer opplæring og henter inn nye talenter fra bransjen.

Led fra toppen

For å lykkes må datasikkerhetssjefene gå ut av komfortsonen (f.eks. sikkerhetsrevisjoner og netteknologi) og aktivt ta kontakt med ledelsen i selskapet. Dette vil kreve at de klarer å snakke forretningsspråket, slik at de får ledelsen til å forstå at sikkerhetsarbeidet er en bærebjelke i kampen for å beskytte selskapets verdier.

Bygg opp en forsvarlig trygghetEtter hvert som strategiene og kompetansen på digital sikkerhet modnes og nye løsninger blir tilgjengelige, vil virksomheter som ser sammenhengen mellom nettsikkerhet og driften ellers, klare å etablere et forsvarlig sikkerhetsnivå i kampen mot nettrusler.

Mer informasjon her: www.accenture.com/cybersecurityreport

Kontaktpersoner: Gaute Lien Accenture Security Lead – Norden

Eirik Gjesteland Accenture Security Lead – Norge