I forrige uke deltok vi på Security divas 2014, NorSIS sin sikkerhetskonferanse for og med kvinner. Er det et behov for en slik konferanse? Trenger kvinner et eget sikkerhetsforum?
Omfanget av konferansen har doblet seg hvert år fra oppstarten for fire år siden og i år deltok 120 kvinner. Ut fra kvaliteten på innleggene, stemningen i salen, i pausene og under måltidene mener vi at det er et behov for dette arrangementet. Faglige diskusjoner og nettverksbygging er alltid viktig på et fagområde som informasjonssikkerhet, uansett om det er kvinner eller menn som deltar.
Konferansens første dag handlet om trusler og hendelser, mens dag to handlet om å erkjenne risikoen man har kartlagt i risikovurderingen og hva man rent praktisk kan gjøre for å utvikle sikre programmer.
Hva er så de viktigste innspillene vi tar med oss fra Security Divas?
Våg å dele for å gjøre hverandre bedre
Virksomheter må bli flinkere til å se, ta tak i og løse sikkerhetsutfordringer på tvers av sektorer. Assisterende direktør Annette Tjaberg i Nasjonal sikkerhetsmyndighet (NSM) åpnet konferansen med et innlegg om trusler og kritiske sårbarheter.
Tjaberg påpekte at vi alle må bli flinkere til å se helheten i dagens ofte sammensatte trusler. Dersom vi fortsetter som nå, hvor de fleste er mest opptatt av å beskytte og vokte over vår egen lille tue eller håndheve «vår egen» lov, vil angriperne ha større sjanse til å lykkes enn om vi som representerer ulike virksomheter står sammen.
Dette betyr at vi må tørre å dele utfordringer og løsninger slik at vi sammen blir bedre, og finner helhetlige løsninger på utfordringer som er større enn oss selv.
Erkjenn og følg opp risikoene du har kartlagt i risikovurderingen din
Det er ikke nok å gjennomføre en risikovurdering, fastslå akseptabelt risikonivå og planlegge tiltak for å minske risikoen. Det betyr kun at vi vet at risikoen er der, ikke at vi erkjenner den. Det er først når vi setter iverk tiltakene vi har planlagt at vi viser at vi erkjenner risikoen vi kom frem til i vurderingen vår. For at en virksomhet skal være i stand til å iverksette tiltak er den avhengig av klare ansvarslinjer.
Det beste eksemplet på dette kom i statssekretær Laila Bokharis foredrag om erfaringer fra 22. juli- kommisjonen. Allerede mange år før 22. juli 2011, var det gjort risikovurderinger som fremhevet høyblokka som utsatt og det var lagt planer for å sikre den. Noen tiltak var gjennomført, men flere av dem gjenstod uten konkrete planer for når de skulle gjennomføres. Ansvaret for gjennomføringen og utsettelsen av disse ble pulverisert og ingen tok ansvar for å gjennomføre dem.
Virksomheter som gjør risikovurderinger må også avklare ansvarsforhold og gjennom å iverksette tiltak erkjenne at de tar risikoene på alvor.
Lag sikre systemer ved å tenke som en angriper
For å kunne forsøke å avverge angrep på virksomheten din, må du tenke som en angriper.
Lillian Røstad, seksjonsleder i Direktoratet for forvaltning og IKT (Difi) og førsteamanuensis II på NTNU, lanserte begrepet ”innebygd sikkerhet”. Dette innebærer å bygge opp programmene dine på en slik måte at de kan motstå alle tenkelige og utenkelige angrep du ser for deg. Før noe lanseres må du vurdere konsekvensene av tenkte angrep på systemet, og sikre at du tester, forbedrer, tester og forbedrer så lenge som nødvendig før du lanserer. Etter lansering må du fortsette å sikre programmet og kontinuerlig jobbe med å forbede og å forutse tenkte angrep.
Vi liker begrepet og tankegangen, og kan trekke paralleller til begrepet om innebygd personvern, som vi i Datatilsynet jobber for å spre videre.
Etter et par dager som divaer har vi rukket å komme ned på jorda, men vi gleder oss allerede til neste års konferanse.
Kanskje vi da kan få høre fra noen som har tatt initiativ til å dele for å gjøre seg selv og andre bedre?
Eller fra noen som har hatt en tung eller vanskelig prosess for å få sin virksomhet til å erkjenne sine risikoer?