Magma topp logo Til forsiden Econa

Otto Breivik er ansvarlig for informasjonssikkerhetstjenestene (eSecurity Solutions) i Ernst & Youngs eRisk rådgivningsenhet. Breivik har mange års erfaring fra informasjonssikkerhetsarbeid, blant annet som sikkerhetssjef i Storebrand-konsernet. I tillegg har han flere års tidligere erfaring fra revisjons- og konsulentbransjen og fra offentlig virksomhet.

Sikker eBusiness -- nye utfordringer!

Mye blir snudd på hodet i den nye nettøkonomien

Denne artikkelen fokuserer på sikkerhetsutfordringer knyttet til eBusiness og den nye nettøkonomien. Mye vil bli endret, men mange av utfordringene er de samme som før ­ de er bare så mye større i den nye økonomien.

For å sette det hele i en ramme vil jeg innledningsvis redegjøre for noen av den nye nettøkonomiens særegenheter og tilhørende nye utfordringer som organisasjoner står overfor.

NY OG GAMMEL ØKONOMI -- HVA ER FORSKJELLEN?

Vi ser for oss store endringer i tiden som kommer, vi har bare så vidt sett begynnelsen. Fremtidens organisasjoner og business vil være annerledes. Virksomhetenes konkurransefortrinn vil ligge i å være ­ og gjøre ­ tingene annerledes enn alle de andre i det store globale markedet. Det vil ikke lenger være tilstrekkelig å yte gjennomsnittlig. Kundene vil forvente mer, og de vil kreve økt spesialisering og økt fokus.

Kampen om talenter og kompetanse vil bli tøff, og kompetanse vil være mer kritisk for virksomhetene enn noen gang tidligere. Kompetansen vil bli vanskeligere å finne, og det vil bli en utfordring å beholde den i selskapene. Vi vil se en større grad av individualisme, og det enkelte individ vil kreve mer av sin arbeidsgiver, sin leder og sine omgivelser i organisasjonen. Det vil bli forventet at et godt talent som skaper verdier for selskapet, vil få en større andel av den faktiske verdiskapingen som hun eller han har bidratt til. Lønn og inntekt vil selvfølgelig være et viktig incitament, men andre typer verdier i et arbeidsliv vil få økt fokus og betydning. Arbeidslivet må oppleves som meningsfullt og utviklende, og det skal være mer «fun», gjerne i en innovativ atmosfære og et «skapende kaos». Den nye økonomiens medarbeidere vil ikke trives i et rigid hierarkisk og autoritært system. Fleksibilitet forventes og kreves.

Den enkeltes karriere i arbeidslivet vil preges av en rekke «events» der utfordringene for organisasjoner og ledere ligger i å gjøre disse «eventene» så langvarige og gode som mulig. Tiden med gullklokke etter 25 års lang og tro tjeneste er nok forbi i den nye økonomien, og for å sitere Kjell A. Nordström, som er medforfatter av bokenFunky Business: «Only poor and stupid people don't move.» Både overfor medarbeidere, arbeidstakermarkedet og kundene handler det om å være mest mulig attraktiv, dvs. mestre «the global attraction game» hvor «competing on feelings and fantasy» er et viktig element. Ja, mye vil bli snudd på hodet i tiden som kommer.

I tillegg til disse organisasjonsmessige utfordringene har ny nettøkonomi ført til økt forretningsrisiko. Men den har også bidratt til en viss økning i ledelsens bevissthet og holdninger til risiko og sikkerhet.

FORRETNINGSMESSIG RISIKO -- IKKE TEKNISK RISIKO

Risiko i virksomheter endres kontinuerlig som følge av utbredt og stadig økende bruk av teknologi. Teknologien og informasjonssamfunnet gir nye spennende muligheter, og nye store markeder åpner seg, men eBusiness medfører også betydelig økt forretningsrisiko. Vi oversvømmes med trusler og faktiske hendelser knyttet til hacking, svindel, datavirus, sabotasje, upålitelighet etc. Eksemplene er mange. Vi regner med at flere tusen virksomheter er utsatt for nettverksinnbrudd årlig, og at bare en liten andel av disse er oppdaget og en enda mindre andel er anmeldt til politiet. Vi kjenner til at et større nordisk reisebyrå var utslått i tre dager fordi en hacker på en finurlig måte hadde sendt én million e-postmeldinger til selskapet og således effektivt satt deres vitale server ut av drift. Forholdet er ikke blitt anmeldt til politiet. Vi tror mørketallene er meget store.

Sikkerhet handler i hovedsak om tillit og renommé i markedet. Mange virksomheter bruker betydelige midler, ofte flere titalls millioner kroner, på markedsføring, kampanjer og salg. De har innsett verdien av å etablere og opprettholde sitt «brand» i markedet. Jeg skal ikke gå inn på avansert markedsføringsteori og beregningsmodeller for hvordan slike investeringer gir avkastning, men jeg vil peke på den betydelige risikoen som ligger i at gevinsten av disse investeringene i løpet av noen sekunder eller timer kan være tapt som følge av en uønsket sikkerhetsbrist. Virksomhetene må ta risiko innover seg, og en viss dreining av investeringene mot risikoreduserende tiltak er etter min mening nødvendig.

RISIKOVURDERING

Det handler om å forstå den risikoen som virksomheten faktisk er utsatt for. I denne sammenheng gjelder det å forstå risiko i forretningsprosessene som følge av virksomhetens bruk av informasjons- og kommunikasjonsteknologi (eRisk). Gjennom en risikovurdering avdekkes trusler, årsaker til truslene, sannsynligheten for at de skal inntreffe, forretningsmessig konsekvens om de inntreffer ­ samt hvilken risiko virksomheten kan akseptere å leve med.

En god risikovurdering, som tar utgangspunkt i virksomhetens prosesser og er praktisk og enkel, er et godt hjelpemiddel og et egnet verktøy for å avdekke hensiktsmessige risikoreduserende tiltak hvor risikoen er høyere enn det nivået som kan aksepteres. Risikovurderinger gjennomføres ofte i forkant av løsninger for å definere tiltak. En annen fremgangsmåte kan være å starte med å utvikle løsninger med fokus på kostnader, fleksibilitet, brukervennlighet, robusthet, sikkerhet m.m. Risikovurdering gjennomføres metodisk parallelt eller i etterkant med fokus på å vurdere og begrunne at valgt sikkerhetsløsning og nivå er tilstrekkelig. Slik kan man vise at man har forstått risiko og vurdert og tatt stilling til hvilken risiko man kan leve med og ikke. Særlig for konsesjonspliktig virksomhet og der det stilles krav til særskilte sikkerhetstiltak, kan denne måten å gjennomføre risikovurderinger på være proaktiv og verdiskapende. Og som kjent: Fra og med 1. januar i år er alle virksomheter som behandler personopplysninger, pålagt å gjennomføre risikovurdering i henhold til ny personopplysningslov og tilhørende sikkerhetsforskrifter.

SIKKERHET -- ET LEDELSESANSVAR

Sikkerhet er et forretningsanliggende mer enn et teknisk anliggende (selv om utfordringene både er skapt og kan løses av teknologer). Det er en forutsetning at ledere av business units tar ansvar, og at de må ha et bevisst forhold til risiko og sikkerhet. Analytikerselskapet Gartner Group bemerket i fjor en utvikling der IT-avdelingene i 1999 var kjøper av 90 % av sikkerhetstjenestene. I løpet av fire år spår de at denne trenden vil være snudd til at business units står for innkjøp av 60 % av sikkerhetstjenestene.

Sikkerhet må flyttes opp på et forretningsmessig plan med direkte konsekvenser for tap og gevinster. Dermed flyttes også ansvaret fra et teknologisk til et strategisk nivå; det blir ledernes ansvar å etablere tilstrekkelig sikkerhet. Ledelsen må definere virksomhetens sikkerhetsmål og gi sentrale føringer (strategier) for risikohåndtering og sikkerhetsarbeid, hvor blant annet myndigheters krav innenfor området er ivaretatt. Av mål og strategier må det avledes minimumskrav (minimum baseline controls) og praktiske retningslinjer/rutiner for organisasjonen. eBusiness gir økt forretningsrisiko, og virksomhetens ledelse må på banen med IT-avdelingen som en «enabler» for de tekniske risikoreduserende tiltakene. Ja, ting blir snudd på hodet. Forretnings- og IT-direktørene vil bytte roller når det gjelder sikkerhet.

VIL DELER AV SIKKERHETSARBEIDET BLI OUTSOURCET?

Vi kan i dag se klare konturer av et nytt stort tjenesteområde ­ sikkerhetsovervåking, kontroll og hendelseshåndtering (Managed Security Services ­ Incident Responce). Ledelsen i virksomheter vil innse at risikoen for deres forretning er økende, betydelig og i noen tilfeller større enn hva som kan aksepteres. Flere vil være seg sitt ansvar bevisst og iverksette de nødvendige risikoreduserende tiltak. De vil imidlertid oppleve at kompetansen og talentene de trenger, er en knapphetsfaktor på grunn av stor etterspørsel i markedet. Denne typen ressurser vil som en følge av dette også koste noe å anskaffe. De vil etter hvert også oppleve at det vil være krevende og kostbart å vedlikeholde og ikke minst videreutvikle denne type spisskompetanse (som ligger utenfor de fleste selskapers kjernevirksomhet). I tillegg vil ledere sitte med en følelse av usikkerhet knyttet til at uansett hvor mye de investerer innenfor dette området, så vil hackerne ­ altså de vi skal beskytte oss mot ­ og deres metoder ligge et hestehode foran.

Kombinasjonen av risikoforståelse og innsikt i at dette ikke er hensiktsmessig eller godt nok å håndtere med bare egne ressurser, vil medføre at outsourcingstjenester vil bli vurdert for den løpende og kontinuerlige operative overvåking og kontroll av nettverkstrafikken, herunder støtte til oppfølging av eventuelle uønskede hendelser. Ting fortsetter å bli snudd på hodet. Det er ikke lenge siden outsourcing av sikkerhet var utenkelig.

SÆRLIGE SIKKERHETSUTFORDRINGER KNYTTET TIL EBUSINESS

Tidligere var ansvaret for sikkerhet trygt plassert i dataavdelingen hos teknologene, gjerne supplert med en funksjon for fysisk skallsikring. I morgendagens og fremtidens løsninger vil sikkerhetsslusene flyttes ut av datarommet og til privatkunder, bedriftskunder, partnere, leverandører, myndigheter ­ ja, til og med til konkurrenter. Vi er blitt «nettokrater», og vi har visst så vidt startet. Den nye elektroniske forretningsdriften åpner for direktetransaksjoner fra flere millioner sluttbrukere ­ og sluttmisbrukere.

Egentlig er det de samme sikkerhetsutfordringene vi står overfor, men i den nye økonomien har hver enkelt utfordring blitt betydelig forsterket. Her er noen eksempler på sikkerhetsutfordringer som er særlig aktuelle i en eBusiness-sammenheng:

  • Autentisering ­ er nettbrukeren den vedkommende utgir seg for å være?
  • Autorisasjon ­ har du oversikt og kontroll med alle brukeres tilgang til systemer og tjenester?
  • Konfidensialitet ­ er informasjon som overføres/behandles, utilgjengelig for uvedkommende?
  • Integritet ­ er informasjon pålitelig, gyldig og et resultat av autoriserte aktiviteter?
  • Ikke benekt funksjonalitet ­ er det brukt juridisk holdbar teknikk for å «signere» digital informasjon?
  • Sporbarhet ­ er handlinger og transaksjoner i nettet sporbare og reviderbare?
  • Tilgjengelighet ­ er driftskontinuitet for nettbaserte forretningsprosesser sikret?

Kan du i din virksomhet svare et troverdig og begrunnet ja på disse spørsmålene, kan du som leder med ansvar for sikkerheten med rimelig trygghet sove godt om natten. Det kan også være greit å vite at praktiske løsninger finnes og er tilgjengelige hos de rette leverandørene og rådgiverne i markedet.

E-SECURITY SOM ENABLER FOR E-BUSINESS ­ NYE LØSNINGER OG MULIGHETER

Som sagt tidligere: Sikkerhet handler mye om å etablere og opprettholde tillit og renommé i markedet. Mangelfull sikkerhet, utilstrekkelig personvern, ustabilitet og utilgjengelighet vil ikke bli akseptert i fremtidens marked. Med andre ord: eBusiness lar seg over tid ikke gjøre uten at risiko og sikkerhet er håndtert på en betryggende måte. Vi ser allerede i dag at det er i ferd med å danne seg markeder for tjenester som på ulike måter og med ulikt omfang skal verifisere og sertifisere virksomheters sikkerhetsnivå. Sikkerhet vil bli en konkurranseparameter i virksomhetenes interaksjon med kunder og markedet.


Econa er foreningen for høyt utdannede innen økonomi og administrasjon. Er du ikke medlem?
Sjekk medlemstilbudene og meld deg inn i dag.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS