IT-sikkerhet omtales ofte som noe teknisk og komplisert. For mange virksomheter kan det derfor være vanskelig å vite hva som faktisk er viktig, og hvor man bør starte. I praksis er god IT-sikkerhet mindre mystisk enn det kan virke – så lenge man ser helheten.

God IT-sikkerhet handler ikke om enkeltprodukter eller isolerte tiltak, men om hvordan flere områder spiller sammen.

 

IT-sikkerhet bygges i lag

En nyttig måte å forstå IT-sikkerhet på, er å se den som flere lag som beskytter virksomheten samtidig. Dersom ett lag svikter, bør et annet kunne redusere konsekvensene.

Disse lagene omfatter blant annet:

  • Brukere og tilgang – hvem har tilgang til hvilke systemer, og hvordan er disse tilgangene sikret
  • Enheter – PC-er, servere og mobile enheter som brukes i arbeidshverdagen
  • E-post og samhandling – den vanligste inngangsporten for digitale angrep
  • Nettverk og tilkobling – hvordan systemer er koblet til internett og hverandre
  • Overvåkning og oppfølging – evnen til å oppdage avvik og hendelser tidlig

Når disse områdene sees i sammenheng, blir det enklere å forstå hvor risikoen er størst.

Hvorfor enkeltstående tiltak sjelden er nok

Mange virksomheter har allerede gjort enkelte tiltak for å bedre sikkerheten. Utfordringen oppstår ofte når disse tiltakene:

  • er satt opp hver for seg
  • ikke er tilpasset virksomhetens faktiske bruk
  • ikke følges opp over tid

Resultatet kan være at sikkerhetsnivået oppleves som høyere enn det faktisk er. God IT-sikkerhet krever derfor både riktige valg og kontinuerlig oppfølging.

Sikkerhet handler også om prioritering

Ikke alle områder er like kritiske for alle virksomheter. God IT-sikkerhet handler derfor også om å prioritere riktig:

  • hvilke systemer er mest forretningskritiske?
  • hvilke brukere har mest omfattende tilgang?
  • hvilke tjenester er mest utsatt for misbruk?

Ved å forstå disse sammenhengene blir det enklere å sette inn tiltak der de gir størst effekt.

Et felles rammeverk gir bedre beslutninger

Når IT-sikkerhet forstås som en helhet, blir det også lettere å ta gode beslutninger – både teknisk og organisatorisk. Det gir bedre grunnlag for:

  • å vurdere risiko
  • å planlegge forbedringer
  • å følge opp sikkerheten over tid

Dette gjelder uavhengig av virksomhetens størrelse eller bransje.

Et naturlig neste steg

Med et overordnet bilde av hva IT-sikkerhet består av, er det lettere å gå videre og se nærmere på de områdene som oftest utgjør størst risiko i praksis.

 

Neste artikkel i serien:
E-post og Microsoft 365 – den vanligste inngangsporten for digitale angrep.