Samkvæmt svokölluðum Global Cyber Security Index, hjá International Telecommunication Union, kemur fram að Ísland hafi bætt árangur sinn í netöryggismálum milli úttekta. Það er klárlega jákvæð þróun, segja þeir Ebenezer Böðvarsson öryggissérfræðingur og Björn Orri Guðmundsson, forstöðumaður viðskiptaþróunar hjá netöryggisfyrirtækinu Syndis, sem hefur um nokkurra ára skeið verið í fararbroddi hér á landi þegar kemur að ráðgjöf varðandi netöryggismál fyrirtækja og stofnana.

Þeir finna vel fyrir auknum áhuga stjórnenda fyrirtækja og stofnana. „Þrátt fyrir það er það mat okkar að á öllum mælikvörðum sem skipta máli erum við ekki að standa okkur nægjanlega vel á sviði þekkingar, viðbúnaðar og tæknilegrar getu þegar kemur að öryggismálum fyrirtækja og stofnana, en Ísland er næst á eftir Rúanda í fyrrgreindri úttekt,“ segir Ebenezer.

Ný heildræn og notendavæn áætlun um rekstrarsamfellu

Nýlega setti Syndis á markað nýja vöru sem ber heitið Business continuity framework, sem má segja að sé heildræn og notendavæn áætlun til að styðjast við í alvarlegu rekstraráfalli, segir Björn Orri. „Í alvarlegu rekstraráfalli skiptir höfuðmáli að hafa vel skipulagða áætlun. Við hjá Syndis höfum prófað viðbragð fjölmargra fyrirtækja með borðæfingum, nú eða komið inn í atburðarás þar sem viðbragðsáætlanir fyrirtækja eru ekki nægjanlega nothæfar til að bregðast við áföllum.“

Þeir segja að viðbragðsáætlanir fyrirtækja heppnist sjaldnast nægilega vel, en hvers vegna skyldi það vera? „Þetta er spurning sem starfsfólk Syndis spurði sig og eftir ítarlega greiningu á hvar áætlanirnar brotna, þróaði Syndis nýja nálgun sem án þess að umbylta því sem fyrir er gerir áætlanirnar auðveldari í notkun. Útkoman er heildræn og notendavæn áætlun sem hægt er að innleiða eða aðlaga því sem fyrir er og er því nógu heildræn fyrir mjög stórar stofnanir, en á sama tíma nógu einföld og notendavæn til að gagnast minni fyrirtækjum sem vilja geta brugðist við rekstraráföllum á skilvirkan máta.“

SecDevOps er næsta þroskastig

Fyrirtæki sem hafa tekið virkan þátt í hugbúnaðarþróun á undanförnum árum hafa í auknum mæli tileinkað sér vinnubrögð sem sameina hugbúnaðarþróun og rekstur sem fylgja lykilreglunum sem eru skilgreindar með hlutdeild (e. ownership), sjálfvirkni vinnuflæðis (e. workflow automation) og skjótri endurgjöf (e. rapid feedback) sem er í daglegu tali kallað DevOps.

„Eiginleikinn til að koma breytingum hraðar til viðskiptavina kemur með aukinni áherslu á að ganga úr skugga um að afhendingin sé einnig örugg. Mörg fyrirtæki snúa sér til öryggisfyrirtækja eins og Syndis til að framkvæma öryggisprófanir, en fyrir flest þessara fyrirtækja eru slíkar úttektir framkvæmdar á síðari stigum þróunar og í sumum tilvikum eftir útgáfu, sem getur haft í för með sér mikinn kostnað eða jafnvel skaða fyrir fyrirtækið ef upp koma alvarlegir öryggisveikleikar.“

SecDevOps er því næsta þroskastig og bætir ferlið við að samþætta bestu starfsvenjur og aðferðafræði öryggis við þróun og útgáfu, sem DevOps gerir mögulegt, bæta þeir við. „Syndis hefur þróað námskeið í öryggismálum fyrir þróunaraðila í formi stuttra fyrirlestra og æfinga sem gerðar eru í gegnum eigin hugbúnaðarlausn Syndis. Námskeiðin eru til þess fallin að hjálpa fyrirtækjum sem vilja ná þessu þroskastigi til að kenna starfsfólki sínu fyrstu skrefin í notkun tóla og aðferðafræði, sem Syndis notar í raunverulegum öryggisprófunum.“

Syndis hefur um nokkurra ára skeið verið í fararbroddi hér á landi þegar kemur að ráðgjöf varðandi netöryggismál fyrirtækja og stofnana.

Breyttar kröfur viðskiptavina

Auk fyrrnefndra nýjunga hefur Syndis styrkt stjórnendaráðgjöf sína, bætt við starfsfólki á þeim vettvangi og sett mikla vinnu í að þróa og innleiða nýjar vörur til að styðja við þá stefnu. „Hópurinn hefur tvöfaldast á þessu ári og auk þess höfum við aukið áherslu á stafræna öryggisþjónustu.

Fyrirtæki og verslanir eru vön að vera með innbrotakerfi og myndavélakerfi í raunheimum, en nú hefur verslun og þjónusta færst gríðarlega mikið í stafræna þjónustu og kröfur markaðarins eru að geta fengið sambærilega þjónustu í formi stafrænna öryggiskerfa og vöktunar. Það eru ekki mörg fyrirtæki í dag sem halda úti starfsemi án tölvukerfanna sinna og við bjóðum því upp á 24/7 vöktun og viðbragð við innbrotum og stafrænum skemmdarverkum.“

Netárásum mun fjölga

Þeir eru sammála því að netöryggismál muni verða sífellt stærri hluti af rekstri fyrirtækja í nánustu framtíð, burtséð frá því hvort áhuginn fyrir því sé til staðar eða ekki. „Netárásum mun fjölga og tap vegna þeirra mun aukast.

Samhliða þessum breytingum mun þekking aukast, en til þess að það gerist nægilega hratt þarf stöðuga fjárfestingu á mörgum vígvöllum svo við höldum í við þau lönd sem við alla jafnan berum okkur saman við. Það er mikilvægt að fylgjast með kerfum til að geta brugðist við með áhrifaríkum hætti þegar öryggisfrávik á sér stað og stór þáttur í fumlausu viðbragði er að hafa einfalda umgjörð og notendavæna ferla sem eru vel kynntir og æfðir.“