Det kan komma en pandemi och vända upp och ner på vardagen. Eller så kan försäljningen rasa. Eller skjuta i höjden. Eller så kan det vara så att dina kollegor klickar på alla länkar de ser. IT måste klara av situationen.
“Alltså, vi har ett problem med vår säkerhet.” Mathias Törnblom, customer technology evangelist på Dustin, blinkade inte ens. Det här var faktiskt en workshop för att öka kundens IT-säkerhet. Att de hade problem var inte särskilt konstigt. Han bad dem att berätta.
”Jo, det är så att våra anställda är helt galna i att klicka på länkar som kommer i e-posten. De klickar på allt! Vad kan vi installera för grejer för att skydda oss mot det?”
Svaret på den frågan var, såklart, att det finns många säkerhetssystem som företaget kan använda. Men motfrågan blev också om de regelbundet gav sina anställda utbildning om cyberhot? Hur de bör agera?
– Det blev dödstyst på andra sidan, sedan kom det ett försiktigt ”aldrig” till svar, berättar Mathias och fortsätter:
– Det är lite som att en bilskollärare struntade i att lära eleverna trafikreglerna och sen blev arg för att de hela tiden krockade. Det räcker inte med tekniken. Ska du bygga motståndskraftig IT måste du först bygga en motståndskraftig organisation.
Var förberedd på förändringar
Motståndskraftig IT är ett måste idag. Men det handlar inte bara om cyberhot via mejl eller falska hantverkare som säger att de ”bara ska in och laga kopiatorn” och blir insläppta på kontoret. Det handlar om att Folkhälsomyndigheten gick från att vara en anonym myndighet till att behöva sända digitala presskonferenser med flera miljoner tittare – på två veckor. Det handlar om att den enorma efterfrågan på handtvål under våren 2020 gjorde att flera e-handlare såg sina sajter krascha, och att hotell- och restaurangbranschen helt plötsligt fick strypa alla utvecklingsprojekt de hade.
– Många tänker IT-hot, men att ha motståndskraftig it handlar om allt det här andra också. Om skalbarheten och beredskapen på att allt kan hända, säger Mathias.
Frågan är bara hur det ska gå till? Hur förbereder man sig på att precis vad som helst kan hända? Helst utan att skaffa en så stor IT-kostym att budgeten spräcks flera gånger om.
Dra nytta av nya scenarier
Måns Wallin är senior rådgivare på rådgivningsföretaget Radar, och i rapporten ”Återstart Sverige” för han fram scenarioplanering som ett användbart verktyg.
– Att vara motståndskraftig idag innebär att du måste kunna hantera hela skalan. Att ha planering för allt som kan ske mellan normalt och katastrofalt läge. Det viktiga för att skapa motståndskraft är att inte vara helt oförberedd. Ha en basplanering att utgå ifrån, som gör att du kan hantera avvikelser.
Och alla scenarier som du analyserar behöver inte vara negativa.
– Säg att ett scenario innebär den situation vi har sett under pandemin, att det helt plötsligt finns ett överskott på konsulter. Hur kan ni planera för att kunna dra nytta av det? säger Måns.
Att skapa motståndskraftig IT är inte en enmansshow för IT-chefen.
Ingen enmansshow för IT-chefen
Men planering är inte allt. Det krävs också verktyg för att utföra planen. En lösning som det propagerats mycket för de senaste åren är molnlösningar och den flexibilitet som de innebär. Och visst kan de vara den on-demand-tjänst som gör det möjligt att skruva på med fullt ös om situationen skulle kräva det, men Måns Wallin manar ändå till viss försiktighet.
– Molnlösningar kan vara bra, men man måste vara ytterst medveten om vad det är man köper, och av vem.
Var står servrarna? Vilka lagkrav gäller där? Och inte minst, vad får du som liten kund hos de här jättarna för service när skiten träffar fläkten?
– Ska du använda molntjänster måste du ha en tydlig leverantörsstyrning. Att skapa motståndskraftig IT är inte en enmansshow för IT-chefen. Det handlar om att inse att man måste samarbeta, internt i organisationen och externt med sina leverantörer. De som klarade sig bäst under 2020 var de som hade en aktiv leverantörsstyrning. Rätt teknik är viktigt, men gott ledarskap är nyckeln till motståndskraftig IT.
Gör din säkra hemläxa
”Oavsett vilken teknik du använder, så är det ditt förhållningssätt till den tekniken som skapar motståndskraft”, säger Mathias Törnblom.
– Slumpen gynnar den förberedde. Att ägna sig åt strukturerat säkerhetsarbete är en bra start för att skapa motståndskraftig IT, säger Mathias Törnblom, customer technology evangelist på Dustin.
Ett grundläggande stöd är sajten informationssäkerhet.se. Där ger ett antal svenska myndigheter stöd och vägledning för att skapa ett starkt skydd kring organisationers IT-säkerhet. Till exempel finns där information om olika kryptolösningar, metodstöd för analys och vägledning för säkerhetskrav vid upphandling.
– Vill du sedan ha mer personlig hjälp och rådgivning kan du självklart höra av dig till oss på Dustin och boka en workshop om säkerhet där vi kartlägger ditt nuläge. Kombinera det med att kontinuerligt utbilda hela personalen om hur de ska bete sig. Då har du kommit långt.
Du kan också åstadkomma mycket med de verktyg du redan har.
– Ta till exempel Microsoft 365. Där finns en secure score som hjälper dig att gå igenom hundratals åtgärdspunkter. Gör du den hemläxan flyttar du din säkerhet flera steg uppåt på en gång.
Något som många kunder frågar Mathias Törnblom om just nu är Zero Trust, en filosofi som utgår från att den IT-ansvarige inte kan lita på någon. Konton kan vara hackade, lösenord kan vara stulna. Strategin är att om och om igen säkerställa att användaren verkligen är den som hen utger sig för att vara.
Men Zero Trust är inte en produkt som du installerar, det är en filosofi där säker åtkomst är själva basfunktionen.
– Många av våra kunder har hört talas om det och vi får mycket frågor om hur det fungerar. Men jag vill fortfarande påstå att oavsett vilken teknik du använder, så är det ditt förhållningssätt till den tekniken som skapar motståndskraft.
Mathias Törnblom, customer technology evangelist på Dustin.
Måns Wallin, senior rådgivare på rådgivningsföretaget Radar.Så funkar Zero Trust
Förr byggde vi vår IT-säkerhet som murar runt en borg. Skurkar utanför, vänner innanför. Detta fungerar inte riktigt idag. Du behöver ständigt patrullera längs muren. Kontrollera alla som vill in.
Zero Trust-modellen fungerar i korthet så här:
- Den utgår ifrån att du är hackad.
- Varje förfrågan om tillgång till ditt IT-system verifieras och analyseras innan den godkänns.
- Det kombinerar ett starkt IAM-system med den senaste säkerhetstekniken. Rätt personer får tillgång till rätt resurser och inget annat.
- Den innebär en flexibel tillgång till IT-miljön, med en snabb och datadriven respons från säkerhetssystemet.