%402x.svg){kind=icon}
– Kort sagt handler det om cyber innen rimelighetens grenser, sier Gaute Wangen i Diri.
Han er en av Norges fremste eksperter innen risikostyring og risikovurdering av informasjonssystemer. Wangen har også en doktorgrad i risikostyring av cybersikkerhet.
Sammen med daglig leder Gunn Mari Sund Rusten og prosjektmedarbeider Sivert Markeset i Digital Innlandet har han tatt en grundig analyse av sikkerhetsarbeidet i organisasjonen, og sett på forbedringspotensialet.
Wangen har brukt Diris software for å analysere Digital Innlandet. Selskapets visjon er å gjøre informasjonssikkerhet, risikostyring og personvern enklere.
Diri er medlem i Digital Innlandet, og har samarbeidet med flere medlemmer i nettverket. Blant annet har Eidsiva vært pilotkunde, og Septer har vært en sentral bidragsyter i utviklingen av Diri-personvern siden 2022.
Gaute Wangen trekker frem to ord når han blir spurt om hva som er det viktigste i arbeidet som Diri har gjennomført med Digital Innlandet: Bevissthet og forankring.
– Vi startet arbeidet med en gjennomgang av de største bekymringene innenfor sikkerhetsområdet sammen med daglig leder og brukte denne forståelsen til å ta ut retning på arbeidet. Vi satte klare og oppnåelig mål for sikkerhetsstyringen til Digital innlandet og arbeidet systematisk med dette over tid, sier Wangen.
– Hva er det viktigste man som bedrift bør tenke på når man går i gang med et slikt arbeid?
– For bedriften er det viktigste å skaffe seg kunnskap – ikke nødvendigvis om bits og bytes, men om hvordan digital sikkerhet påvirker måloppnåelse og verdiskaping. Det handler om å forstå hvordan kjerneprosessene er digitalisert og hvilke leverandører og IT-systemer virksomheten er avhengig av for å kunne drive, sier Gaute Wangen.
Han nevner en konkret hendelse mot en Gjøvik-bedrift som et eksempel.
– For eksempel var rørlegger Knut Malmberg helt avhengig av sin driftsleverandør for å holde hjulene i gang. På samme måte bør bedriften spørre seg hvilke avhengigheter til leverandører og IT-systemer de selv har for å drive forretning. Denne forståelsen kommer gjennom kartlegginger, fagdiskusjoner og risikovurderinger. Kartleggingen bør så følges opp med enkle og prioriterte sikkerhetstiltak som både beskytter driften og forebygger uønskede hendelser.
– Hva er de enkleste anbefalingene du kan komme med til andre som vurderer det samme?
– Selv om risikovurderinger er nyttige, er det ikke alltid det første man trenger. Alle bedrifter bør starte med grunnsikring og å skaffe oversikt og kontroll over digitale verdier. Jeg liker å si «Hvordan skal man spille forsvar om man ikke vet hva man har og hvor det er?», sier Gaute Wangen i Diri.
Digital sikkerhet handler mye om oversikt og kontroll i form av kritiske systemer, informasjonsverdier, leverandører, identiteter og tilganger.
– Som tiltak bør man slå på tofaktor der det er mulig. Det er et av de mest effektive tiltakene, og bruk single sign-on fra for eksempel Microsoft eller Google for å forenkle brukernes hverdag. Begrens rettigheter til det som er nødvendig for å utføre arbeidet, og sørg for at ansatte enkelt kan melde fra om hendelser. Ha kapasitet til å håndtere tekniske problemer, enten internt eller gjennom avtale med en tredjepart, sier Gaute og legger til:
– For egen infrastruktur: Bruk brannmur, minimer eksponering mot internett og oppdater raskt. Sørg for backup av kritiske systemer, og invester i opplæring og bevisstgjøring – det er ofte den beste beskyttelsen.
Gaute Wangen i Diri sier dette er de viktigste måloppnåelsene for Digital Innlandet-prosjektet:
- Etablert sikkerhetspolicyer og retningslinjer som forankret arbeidet og tar ut retning
- Innført systematisk risikostyring og oversikt over leverandører, IT-systemer og verdier.
- Identifisert og redusert cyber-risikoer gjennom målrettede tiltak med tanke på risikobildet og bekymringer
- Bygget opp grunnleggende personvernsarbeid med behandlingsoversikt og oppdatert personvernpolicy
- Implementert sikkerhetskontroller etter NSMs grunnprinsipper prioriteringsgruppe 1.
- Hevet sikkerhetsbevissthet gjennom opplæring av ansatte.
.png)
%402x.svg)
