Tiden er inne for IT-revisjon

Covid-19 har ikke kun stresstestet helsevesenet vårt. Hvis det noen gang var på tide å revidere selskapets IT, er det nå, Rajan Maheshwari i TCS Norge.

SVEKKET IT-SIKKERHET: Rajan Maheshwari i TCS Norge frykter at selskaper har tatt snarveier for å opprettholde driften under coronakrisen.  Illustrasjonsfoto: Dreamstime
Debattinnlegg

Det er ikke en liten sak å gå fra kontorbaserte operasjoner til hjemmekontor – over natten. Aldri før er så mange PC-skjermer og kontorstoler blitt fraktet på busser, trikker og T-baner som på torsdag 12. mars, dagen Norge stengte på grunn av covid-19.

Først senere fikk folk føle på de psykologiske følgene av isolasjon

Endringene var kanskje ikke så kompliserte, i alle fall ikke de første dagene. Fysisk har de fleste hjem har rikelig med bredbåndskapasitet, plass nok til hjemmekontor og bærbare datamaskiner er uten tvil den vanligste datamaskinen. Nye rutiner for interne møter ble etablert og videomøter ble den nye standarden. Først senere fikk folk føle på de psykologiske følgene av isolasjon.

Rajan Maheshwari. Foto: TCS Norge

IT-sjefer som frem til nå har krevd større budsjetter med det enkelte argumentet «hva om», har plutselig fått poenget sitt bevist. Virksomheter må planlegge for avbrudd i driften, sammen med resten av samfunnet. Denne gangen var det et virus, men det kunne lett ha vært en brann, gravearbeider som kuttet selskapets internettilgang eller et hackerangrep.

Vi frykter at selskaper har tatt snarveier for å opprettholde driften

Vi frykter at selskaper har tatt snarveier for å opprettholde driften. For eksempel har mange selskaper strenge regler for tredjeparts programvare og maskinvare. Noen selskaper eller IT- administratorer kan ha omgått sine vanlige regler for å opprettholde forretningsdriften. Det samme kan være tilfelle for ekstern tilgang til nettverket.

Cyberkriminelle vet hvordan de raskt kan utnytte nye sårbarheter. Ikke bare har de tekniske ferdigheter til å utnytte dem, men de har også adferdsvitenskapelig kunnskap for sosialt å konstruere måter å lure sine ofre på.

Her er en liste over seks ting som har endret seg etter covid-19:

  • Noen organisasjoner må flytte til nye driftsmodeller. Disse endringene vil kreve sterk granskning fra et cybersikkerhetsperspektiv.
  • Bedrifter må tilbakestille sikkerhetssystemene sine for å sikre at alle sårbarheter blir identifisert og sikret.
  • Ny cyberrisiko må forstås. Covid-19 har gjort oss digitale – men det har også gjort oss mer cybersårbare.
  • Bedrifters IT-sikkerhet bør revurderes.
  • Oppdateringer til ekstern tilgang og BYOD (Bring Your Own Device) må gjøres.
  • Avansert teknologi, som AI, big data og maskinlæring må distribueres. Kompleksiteten og datamengdene gjør slik teknologi nødvendig for å oppdage og respondere på cybertrusler. Cyberkriminelle bruker disse teknologiene, så potensielle mål må også ta i bruk disse teknologiene for å jevne ut slagmarken.

Hvis det noen gang var på tide å revidere selskapets IT, er det nå. Bedrifter bør begynne med å identifisere, reparere og sikre sårbarheter som har oppstått på grunn av snarveier og unntak fra retningslinjer. Deretter bør retningslinjer generelt evalueres, ettersom de tydeligvis ikke hadde tatt høyde for et scenario som det vi har vært gjennom. Til slutt, bør læringen fra disse prosessene, og fra selve covid-19-perioden, bli grunnlaget for en større IT-revisjon.

Rajan Maheshwari

Adm. direktør i TCS Norge