Nøgtern trusselsanalyse, ledelsesforankring og operationelt knofedt præger Grønlands Lufthavnes arbejde med it-sikkerhed. LinkGRC rådgav virksomheden bag 13 lufthavne og 46 helikopterlandingspladser.
It-chef Ole Lindhardt og fire kolleger i it-afdelingen hos Grønlands Lufthavne har forholdsvis god ro i maven omkring it-sikkerhed, selv om trusselsbilledet vokser både i dybden og bredden i disse år. Årsagen er, at virksomheden har taget en samlet og meget operationel tilgang til it-sikkerhed baseret på realistiske målsætninger.
”For nogle år siden gik det op for os, at vi er truet på linje med alle mulige andre virksomheder. Vi så også at mange øvrige grønlandske virksomheder kom under angreb, og derfor reagerede vi og fik etableret en politik og et beredskab. Vi brugte LinkGRC til at hjælpe os med risikovurderingen og designet af den efterfølgende indsats”, siger Ole Lindhardt. Han er ansvarlig for en it-installation, som geografisk dækker hele Grønland og hvis kerne er et datacenter i Nuuk.
Nedlagt på få uger
”I værste fald kan et angreb lamme vores salg på indtægtssiden og vores lønsystemer på medarbejdersiden. Flyene og sikkerheden omkring luftfarten vil ikke være akut ramt, men hvis den administrative rygrad bryder sammen, så vil virksomheden have meget svært ved at fungere,” siger Ole Lindhardt.
Samarbejdet med LinkGRC udmøntede sig i første omgang i en risikovurdering, hvor den efterfølgende rapport opsummerede en række potentielle risici inden for it-sikkerhed, som blev vejet i forhold til deres mulige skadevirkning og deres sandsynlighed for at indtræffe.
”LinkGRC hjalp os med at analysere og prioritere, og det har gjort os i stand til at arbejde med it-sikkerheden rent operationelt. Hvis man ikke har overblikket, så er det svært at vide, hvor man skal starte. Nu kan vi stille og roligt planlægge indsatsen, så den giver mest værdi for os,” siger Ole Lindhardt.
Ledelsesopbakning og awareness-kampagne
Ledelsen i Grønlands Lufthavne kvitterede positivt for rapporten, og lederne gav grønt lys for et fortsat arbejde med i-sikkerhed. Konsulenten fra LinkGRC var gæst på en ledelsesworkshop, hvor direktionen fik forståelse for de mulige forretningsmæssige konsekvenser af brister i it-sikkerheden. Klassificeringen i trusler udefra og trusler indefra førte til en større awareness-kampagne, som på en let og hurtig måde minder medarbejderne om de vigtigste forholdsregler i forhold til angreb og it-trusler.
”Fra it-afdelingens side kan vi tage en lang række tekniske forholdsregler, men ledelsens opbakning er helt nødvendig i forhold til vores dagligdag. Vi har jo flere hundrede brugere på mange forskellige niveauer, og bare en enkelt fejl hos en bruger kan være nok til, at installationen er under angreb. Derfor kører vi løbende kampagner for at øge kendskabet til truslerne og sikre den optimale adfærd i dagligdagen,” siger it-chefen.
Konsulent var pengene værd
It-installationen hos Grønlands Lufthavne er naturligvis også gennemanalyseret, så systemejere, dataejere og it-medarbejdere gennemfører de procedurer og kontroller, der sikrer det ønskede sikkerhedsniveau. Virksomheden har ikke en ambition om kunne afværge målrettede angreb, men organisationen har forholdsreglerne på plads til at minimere risikoen fra generelle trusler.
”Inden for cyber-trusler opnår man ikke 100 pct. sikkerhed, uanset hvor mange ressourcer man bruger. Den realistiske og vejede tilgang til it-sikkerhed sætter os i stand til at arbejde med det her felt på en nøgtern måde. Derfor har pengene til LinkGRC været godt givet ud. Erfaringen og professionalismen hos konsulenterne betyder, at vi har kunnet trække i arbejdstøjet efter en samlet plan,” siger Ole Lindhardt.
Hos Grønlands Lufthavne er filosofien, at man hele tiden kan blive bedre, og derfor har it-chefen flere ting på to-do-sedlen i forhold til it-sikkerhed. Både organisationen, medarbejderne, systemerne og truslerne ændrer sig over tid, og derfor hænger høj it-sikkerhed sammen med et løbende fokus og konstant optimering. Forandringer bør ideelt set altid vurderes fra it-sikkerhedens synsvinkel.
“Den realistiske og vejede tilgang til it-sikkerhed sætter os i stand til at arbejde med det her felt på en nøgtern måde. Derfor har pengene til LinkGRC været godt givet ud. Erfaringen og professionalismen hos konsulenterne betyder, at vi har kunnet trække i arbejdstøjet efter en samlet plan”