Direktør i LinkGRC Tomas Thobias Hellum aktuel med debatindlæg i Børsen

Topledelsen ejer også cybersikkerheden

Seks ud af ti virksomheder var i 2020 udsat for et cyberangreb. Digitaliseringsgraden er så høj, at vi ledelsesmæssigt må gøre op med de sidste rester af silodannelse om it-kategorien og løfte digital governance helt op i de øverste ledelseslag.     

Af Tomas Hellum, direktør for LinkGRC og rådgiver inden for governance, risk og compliance

Effekten af et globalt internet og globale tech-giganter slår nu igennem i samfundet og virksomhedernes hverdag på alle leder og kanter. Ligesom politikere verden over – ikke mindst i EU – er ved at vågne op til dåd for at beskytte demokrati og meningsdannelse, så må topledelser i virksomhederne tage ansvar for det totale billede af virksomhedens risici.

Måske er det ganske bekvemt at overlade netop it-sikkerheden til en Chief Information Security Officer (CISO), men det virker kontraproduktivt i forhold at få it-risici tænkt ind i alle virksomhedens kredsløb. De spektakulære historier om virksomheder udsat for cyberangreb er blevet hverdag, og vi ved, at skadevirkningerne nogle gange måles i milliarder.

It-sikkerhed er et forretningsanliggende

Virksomhedens bedste forsvar er at have det nødvendige ledelsesfokus på digitale trusler med i forretningsmæssige beslutninger, investeringer, valg af partner og meget andet. Altså alle steder. Det digitale element er jo til stede i nærmest alle aspekter af en virksomhed. Og derfor kan vi ikke lukke it-sikkerheden inde på et lille kontor og tro, at det kan håndteres som et it-spørgsmål, når det er et forretningsmæssigt spørgsmål.

Silodannelsen på netop dette område er farlig, fordi truslen er i så stor vækst. Ifølge Cybercrime Survey 2020 fra PwC har seks ud af ti spurgte danske virksomheder haft en eller flere hændelser i de seneste 12 måneder. Det højeste antal i fire år. 79% af angrebene var phishing-angreb og 35% af dem var relateret til COVID19-pandemien.

Stærke kriminelle organisationer

Trusselsbilledet er blandt andet præget af stærke kriminelle organisationer, som arbejder professionelt og seriøst med brug af både finansiel viden, digital viden og med klar sammenhæng med andre kriminalitetstyper. Afpresning, aflytning og målrettede digitale angreb på enkeltpersoner er sjældnere, men farligere end de masseproducerede og maskinelle ”kampagne-angreb”.

Svaret er risikotænkning hele vejen rundt, og i min optik gøres det bedst ved at sætte økonomisk værdi på risikoen. Det peger på en stadig ikke overvundet kommunikationskløft mellem CISO og den øvrige ledelse. Cybercrime Survey 2020 fortæller, at lederne selv (86%) synes, at de har godt fokus på balancen mellem cybertrusler og cybersikkerhed. Blandt fagfolk på området er det kun 72%.

Teknisk compliance er ikke nok

Vi kan ikke opnå fuld beskyttelse ved at leve op til tekniske standarder og retningslinjer. Denne compliance-tilgang indebærer generelle og ensartede beskyttelsesniveauer uden hensyn til aktivernes faktiske værdi for os og mulige kriminelle modparter. Et ensartet og generelt teknisk bestemt sikkerhedsniveau beskytter kritiske data lige så godt eller dårligt som mindre betydningsfulde data. Desværre betyder den tilgang, at den seriøst arbejdende angriber givetvis kan komme igennem forsvarsværkerne med brug af store ressourcer og måske afpresning af enkeltindivider og aktivering af hackerviden.

Selv de største og mest velrennommerede og kompetente virksomheder kan altså ikke gardere sig 100 pct. Det er et faktum og et globalt vilkår. Vi skal flytte vores tankesæt hen i retning af naturkatastrofer, når vi taler om cyber-kriminalitet. Alle kan blive ofre for et jordskælv. Alle kan også blive udsat for ondartet hacking. På det her område er nulfejlskultur den faktiske hovedfjende. Hvis virksomheden tror på nul fejl, så tager den ikke problemet alvorligt nok, og den skruer ikke sin risikostyring sammen på en optimal måde.

It-risici i beslutningernes DNA

Vi skal opbygge en kultur, hvor it-risici er indbygget i beslutningernes DNA. Paradigmet skal være risikobaseret og værdibaseret i modsætning til at være teknisk og systembaseret. Der skal topledelse og forretningsejere med ind over denne vurdering af virksomheden, og så skal denne værdiantagelse efterfølgende trække på teknisk sikkerhedsviden.

Mange virksomheder har opbygget et Security Operations Center, samlet ressourcer og erfaringer i CISO’ens kontor samt har løftet sin modenhed i forhold til at håndtere incidents, styre identiteter og kontrollere adgang. Alligevel er en række store og højprofilerede virksomheder blevet ramt hårdt, omkostningsfuldt og reelt livstruende af cyberkriminalitet. Udover disse offentligt kendte eksempler kommer en række skjulte og ikke-offentliggjorte sager om mere sofistikerede, målrettede og avancerede angreb.

Vi har brug for topledelsens prioritering og en samlet tilgang, hvor vi sidestiller cyberrisici med alle andre risici i vores risikostyring. Vi skal vurdere hyppigheden og værdiansætte disse risici og sætte et varieret sikkerhedsberedskab op for at imødegå truslen. Vi skal have beredskab til at opdage angreb, og vi skal opbygge intelligente forsvarslinjer, hvor vi beskytter det vigtigste bedst.

Link til artiklen på borsen.dk: https://borsen.dk/nyheder/opinion/debat-seks-ud-af-ti-virksomheder-har-oplevet-cyberangreb-det-er-tid-til-topledelsen-tager-ansvar-for-sikkerheden

Senior fullstack udvikler til LinkGRC

Kunne du tænke dig at arbejde med risikostyring i forskellige virksomheder? At være med til at udvikle, udbygge en GRC-løsning i samarbejde med dygtige kollegaer?

Du kan få en hverdag med varierende udfordringer, indflydelse på processer og løsningens udformning samt dygtige kollegaer at spare med.

I jobbet som udvikler vil du arbejde tæt sammen med virksomhedens kunder, hvor målet er at kunderne får overblik over løbende risikostyring. Du skal derfor kunne kommunikere godt med kundernes interessenter, såvel som dine udvikler-kolleger og forretningens øvrige medarbejdere.

OPGAVERNE

Vi søger både senior fullstack udviklere og junior fullstack udviklere. Opgaverne består, udover videreudvikling af GRC-systemet, i implementering, tilretninger, opgraderinger og vedligehold for kunderne.

Du vil i jobbet opleve at ændringer i lovgivning, standarder, virksomhedens ydelser og ikke mindst egne innovative evner betyder løbende ændringer i løsningen.

Ud over udvikling af løsningen, skal der samarbejdes med kunderne om at få systemet til at fungere optimalt for dem.

Opgaverne vil bl.a. omfatte

  • Udvikling af nye moduler og funktionalitet
  • Generel anvendelse af Microsoft Azure Platformen, både til Azure DevOps med Continuous Integration og Deployment, samt Azure Functions, Azure App Services, Azure SQL Server og andre PaaS services som fundament til vores .NET Framework/Core baserede applikationer.
  • Udvikling i forhold til Windows authentication/authorization i Oauth OpenID connect teknologi
  • Vedligehold af eksisterende moduler og funktionalitet, opdatering af brugergrænseflade, ny funktionalitet hos kunder
  • Fejlsøgning og fejlrettelser
  • Optimering af kode bl.a. ved anvendelse af SonarQube
  • Dokumentation af implementeret funktionalitet og kundespecifikke tilretninger
  • Test og test automatisering
  • Tilbudsgivning
  • Workshops med kunder

HVEM VIL TRIVES I JOBBET

De søger dig med god erfaring indenfor både fullstack udvikling og/eller frontend/backend udvikling, med passende teoretisk baggrund og som har lyst til og flair for kundekontakt og kommunikation.

Hvis du har en systematisk og kvalitetsbevidst tilgang til opgaverne, er jobbet for dig.

Du vil have det bedst i jobbet, ved at kunne være udadvendt, samt være opsøgende og samarbejdende omkring kunderne/interessenterne. Her tænkes i forhold til afhandling af krav og forventningsafstemning i forhold til løsningen hos kunden.

Teknisk set ønskes erfaring med bl.a. C#, Asp.Net, Javascript, CSS, MS Windows, MS SQL server og MS Azure teknologier.

Det vil også være en fordel med gode skriftlige formuleringsevner på dansk og engelsk.

RART AT VIDE OM VIRKSOMHEDEN

Virksomheden rådgiver om Governance, Risiko og Compliance og som kernen i dette driver og udvikler de deres egen softwareløsning.

Vores kunder er typisk store og mellemstore virksomheder i den finansielle sektor, pensionssektoren og energisektoren. Vi går til opgaverne på baggrund af god skik og vores praksisnære metodeapparat, som fokuserer på direkte tilgang til risikostyring. Vores varemærke er GRC, som virker i praksis.

Udviklingsteamet består i dag af 4 interne udviklere/IT-arkitekter.

Du bliver en del af en mindre men videns tung virksomhed, med dygtige kollegaer. Vi har kunder i hele Danmark.

Der gives gode vilkår, herunder 6 ugers ferie., pension, fleksibilitet, mediepakke, sundhedsforsikring, frokostordning, mm.

INTERESSERET I AT HØRE MERE

Er du interesseret, så send endelig kontaktinfo eller dit CV til Tomas Hellum, the@linkgrc.com, som herefter kontakter dig.

Vi ser frem til at høre fra dig!

 

Sikkerheds- og trusselsefterretninger

Hvordan baserer jeg mine analyser og vurderinger på de rigtige informationer? Og hvor finder jeg dem overhovedet?

Tomas Hellum og Michael Sjøberg diskuterer principper for god informationsindhentning i denne episode af Risiko Radio, hvor Tomas også løfter sløret for et nyt projekt, som skal styrke både risikovurderinger og trusselskatalog.

Remember to rate & review us – og 1000 tak fordi du lytter med på Risiko Radio!
skaldyrsfestival.dk/cialis-danmark.html skaldyrsfestival.dk/viagra-billigt.html

Ransomware

Vi forhandler ikke med hackere (…eller gør vi?)

Hvad skal vi have på plads inden vi bliver udsat for afpresning? Hvordan minimerer vi skadens omfang? Hvor kan vi få hjælp? Og hvad er de etiske overvejelser?

Tomas Hellum og Michael Sjøberg tackler problemerne med cyber-afpresning i denne episode af Risiko Radio, hvor du bl.a. kan blive klogere på, hvad du skal have på plads INDEN det går galt.

Download materialerne til episoden om cyberangreb her:

 

 

Coronastatus

Hvordan går det (egentlig) med krisehåndteringen?

Tomas Hellum og Michael Sjøberg gør status på krisehåndtering i Danmark efter de to første ugers lockdown – hvad virker, hvad kan gøres bedre og hvad har manglet i beredskabet?

Og bare rolig – vi kommer med flere Risiko Radio opdateringer på krisehåndteringen 🙂

Tak fordi du lytter med på Risiko Radio!

Glædelig jul fra LinkGRC-teamet

LinkGRC holder juleferie fra d. 23.12.19 til d. 06.01.20. I ønskes alle en rigtig glædelig jul og godt nytår – vi ses i 2020.

 

Læring efter halvandet år med GDPR 

Forkromede juridiske rammeværker bliver nu forankret, operationaliseret og integreret meget bedre. Her cirka halvandet år efter GDPR-opstarten er mange virksomheder i gang med at gøre det smartere.

Mange virksomheder, som fik et digert juridisk rammeværk på plads omkring 25. maj sidste år, kunne glæde sig over, at de ’klarede skærene’, men nu er de i gang med en oprydning. Det store kompleks var måske nok juridisk set i fin form, men det savnede noget dynamik og noget eksekverbarhed. Jura-sprog egner sig sjældent til effektiv organisatorisk implementering, og den får man fokus på, når man står og skal opdatere og revidere sine dokumenter.

Der er mange steder hvor lovgivningen er blevet overfortolket og der dermed er brugt for mange resourcer som fx udarbejdelse af unødvendige databehandleraftaler og dataflow diagrammer.

For hvert dokument man opretter og bruger timer på, skal man allokere timer til årlig vedligeholdelse og opdatering. Mange større og forkromede overliggere skal brydes ned i helt konkrete og styrbare handlinger. Hvis man ikke har tænkt på dette dynamiske element, så står man meget hurtigt med en komplet forældet styring af persondata i sin virksomhed.

Det er den realitet, som nu banker på døren mange steder. Vi mærker den som øget efterspørgsel på at indbygge GDPR-kravene i den eksisterende risikostyring og informationssikkerhed. Og vi foreslår typisk at bruge den governance struktur og de metodikker, begreber og it-systemer, som allerede er i drift, til også at understøtte GDPR.

Datatilsynet fejrede et års fødselsdag med at indstille Taxa 4X35 til en bøde på 1,2 mio. kr for at beholde kundernes telefonnumre længere, end selskabet selv har meldt ud. På et kontrolbesøg fandt tilsynet data om op mod ni mio person-henførbare taxature, der var ældre end to år. Datatilsynet lægger altså op til at følge en linje, som flugter med intentionerne i GDPR.  En god grund til at gøre det nemt og effektivt at være compliant! Men hvordan bødestørrelsen ender må vi se.

 

Af Tomas Hellum, direktør for LinkGRC

og rådgiver inden for governance, risk og compliance

 

Sikkerhedsgodkendelser

…en røffel.

Tomas og Michael er tilbage i Risiko Radio studiet for at tale om sikkerhedsgodkendelser. Tomas er nemlig rendt i den irriterende problematik, at man fra myndighedernes side kræver at nogle medarbejdere i visse (typisk forsyningskritiske) virksomheder skal sikkerhedsgodkendes.

Problemet er, at der ikke findes en logisk og tydelig vejledning til, hvordan man skal gøre, når man har en medarbejder, som skal sikkerhedsgodkendes. Det skal der laves om på.

Du kan læse mere om Tomas og LinkGRC her: https://www.linkgrc.com
…og Michael og Human Advisor Group finder du her: https://humanadvisor.dk

Husk at dele episoden med dit netværk – og som altid 1000 tak fordi du lytter med på Risiko Radio!

Nye Cowboytricks

Simplificér dine IT-risikovurderinger.

Tomas Hellum og Michael Sjøberg taler risikovurderinger i denne uges episode af Risiko Radio – for hvordan pokker sikrer vi os, at vi får ført det løbende, effektive tilsyn med vores leverandører på IT-siden – så vi er compliant med GDPR.

Cowboy-tricksene bliver leveret af Tomas – og du kan fange ham her på Linkedin

…og Michael kan du linke op med her

Simplificér dine SOP’er!

Risiko Radio epsiode 067: Interview med Ulrich Perch-Nielsen, Danske Bank

Tomas Hellum & Michael Sjøberg er i denne episode af Risiko Radio taget på besøg hos Danske Bank for at mødes med Ulrich Perch-Nielsen, som står i spidsen for bankens “SOP Simplification Program”.

Hvis du sidder og arbejder med processer, arbejdsgange eller SOP’er er der simpelthen så mange guldkorn at hente i denne episode, hvor Ulrich deler ud af sine erfaringer med at forenkle Danske Banks enorme bagkatalog af Standard Operating Procedures.