IT- og cyberrisiko står høyt på agendaen i de fleste virksomheter som følge av et generelt økt trusselnivå.
I tillegg kommer nye krav og reguleringer til samfunnsviktige virksomheter i form av Digital Operational Resilience Act (DORA) som vil gjelde for finansforetak og NIS 2 som vil gjelde for andre samfunnsviktige foretak og institusjoner.
Det var et fullsatt møterom når nettverk for risikostyring og nettverk teknologi & sikkerhet sammen ønsket velkommen til et GRC-seminar ledet av Michael Ismail Kilic, med fokus på håndtering av IT- og cyberrisiko i praksis 7. mai.
Synes du at dette er interessante og relevante temaer, men gikk glipp av seminaret ?
Da er du velkommen til å lese oppsummeringen fra Sigurd Mathiesen i Redaksjonskomiteen nedenfor.
Seminaret ga et godt helhetlig overblikk og innsikt i hvordan teknologi kan anvendes i overvåking og håndtering av IT- og cyber-risiko. Seminaret fokuserte både på forebygging og håndtering av kritiske hendelser representert ved en rekke praktiske eksempler i de enkelte foredragene.
Tema 1: Hvordan samkjøre dokumentasjon, rapportering og operasjonalisering av IT GRC for å skape et best mulig resultat?
Owe Lie Bjelland, Direktør i Corporater, forklarte at i altfor mange virksomheter lever dokumentasjon, rapportering og operasjonalisering av IT GRC sine egne liv i «silo» – fragmentert og manuelt. Resultatet av dette blir ofte manglende oversikt, ineffektivitet og svakere etterlevelse, som i sum skaper økt risiko.
Bjelland demonstrerte hvordan man kan samkjøre og integrere IT GRC-prosesser slik at styring, kontroll og sikkerhet går hånd i hånd. Viktige virkemidler for å oppnå dette er riktig bruk av teknologi, metodikk og strukturert tilnærming som forener dokumentasjonskrav, etterlevelses-rapportering og daglig risikohåndtering. Sammen skaper dette et bedre beslutningsgrunnlag, økt motstandsdyktighet, mer effektiv kontroll og sterkere forankring i organisasjonen.
Tema 2: Hva er business continuity og hvorfor er det viktig ?
Modar Ismail, Senior Manager og Head of Cyber Strategy & Due Diligence i KPMG, gav en innføring i begrepet «business continuity» og hvor formålet er å sikre kontinuerlig drift dersom et kritisk driftsavbrudd skulle oppstå. Modal forklarte hvorfor dette har blitt den nye standarden innen sikkerhetsplanlegging og hvordan det påvirker virksomhetenes behov for å planlegge tiltak som kan sikre kontinuiteten i kritiske forretningsprosesser ved uforutsette hendelser. Han delte en rekke praktiske erfaringer og eksempler, slik at deltakerne kunne ta med seg konkrete læringspunkter for implementering i egen virksomhet.
Tema 3: Hvordan tilpasse seg når juridiske krav blir utfordret av en ny politisk virkelighet ?
Øystein Balstad, CISO og Sikkerhetsarkitekt i cybersikkerhetsselskapet Defendable AS, forklarte på en engasjerende måte hvordan det politiske landskapet er i endring og hvordan denne usikkerheten bør reflekteres i hvordan ulike virksomheter velger å innrette seg gjennom å ha alternative strategier, for blant annet håndtering av leverandører og personopplysninger.
Bakgrunnsteppet er en verden preget av krig og konflikt, og det råder en generell usikkerhet rundt hvordan verden kommer til å se ut fremover. Virksomheter bør derfor analysere hvilke avhengigheter den er eksponert for i sin verdikjede, og sørge for å ha alternative ved brudd i disse kjedene.
Tema 4: Red Teaming i praksis
Remi Solberg, Senior Penetration Tester – Consulting i EY, utforsket hvilken verdi krishåndterings-/ «Red Team» -øvelser kan tilføre virksomheter. Dette ble belyst ved å vise hvordan disse øvelsene går utover tradisjonelle penetrasjonstester, ved å utfordre virksomheter til å fokusere på hva som virkelig er viktig.
Solberg demonstrerte hvordan kritiske funksjoner kan rammes og viste konsekvensene av at en trusselaktør kan tilegne seg tilgang til slike funksjoner usett. Han forklarte hvordan man kan styrke forsvaret til disse funksjonene og finne veier for å redusere risikoen. Deltakerne fikk en god forståelse av hvordan et Red Team opererer og hvordan de kan bidra til å forbedre sikkerheten og beredskapen i både nåtid og fremtid.
