Sannolikheten för olika former av intrång eller bedrägerier styrs nästan helt av faktorer som är utanför företagets kontroll. Kraftigt integrerade it-miljöer innebär i sin tur att konsekvenserna av ett intrång är svåröverblickade. Resultatet är att cybersäkerhetsrisker, till skillnad från finansiella risker, i princip är omöjliga att värdera på ett tillförlitligt sätt. Samtidigt finns det ofta stor potential att effektivisera och förbättra riskhanteringsprocessen.
Cybersäkerhetsavdelningen på exempelvis en bank står inför en kontinuerlig riskbild som är svår att bedöma. Det är även svårt att avgöra vilken skada ett eventuellt angrepp kan generera eftersom angripare utnyttjar integrerade it-miljöer för att ta sig vidare, säger Stefan Pettersson, konsult och partner på Springflod, en konsultbyrå inom cybersäkerhet som riktar sig mot bank- och finanssektorn.
Stefan Pettersson
Konsult & partner Springflod
Foto: PMAGI AB
Den senaste trenden är att de individer som planerar och genomför cyberangrepp mot banker och finansbolag blivit alltmer professionella, kompetenta och strategiska. Det är omöjligt att förutse hur mycket tålamod de har och vilka resurser dessa individer är beredda att lägga på att planera och genomföra ett angrepp. Dessa faktorer har större betydelse för den egentliga sannolikheten än hur pass svårt eller krävande ett angrepp kan anses vara.
– Kort sagt, det får inte finnas några illusioner om att kapitaltäckning eller dylikt är möjligt för att hantera operativa risker inom cybersäkerhet. Det är inte vad det ska handla om, det viktiga är att bekymmerslöst kunna utöva kontroll över verksamhetens operativa risker genom att ha en strömlinjeformad process, säger Stefan Pettersson.
Ett externt perspektiv på riskhanteringsprocessen
Springflods rådgivning tar i allmänhet avstamp i att förbättra kundens riskhanteringsprocess på olika sätt, en alltjämt pågående process som kontinuerligt behöver ses över och effektiviseras. Syftet är att kunna agera tillförlitligt och snabbt när man upptäcker någon form av riskfaktor.
Banker och finansbolag har ofta en stark egen cybersäkerhets-avdelning med gedigen kompetens och samma gäller riskkontroll. De är tyvärr sällan samspelade. Samtidigt upplever många ett behov av att låta en extern cybersäkerhetskonsult med erfarenhet från många olika organisationer granska riskhanteringsprocessen för att säkerställa att viktiga perspektiv inte gått förlorade längs vägen. Ett externt perspektiv på saker och ting kan med andra ord tillföra mycket värde.
– När riskhanteringsprocessen är strömlinjeformad hanteras risker som en naturlig del av den dagliga verksamheten. Riskhanteringen blir inte någon särskild händelse som stjäl resurser och fokus från verksamhetsutvecklingen eller den dagliga affärsverksamheten. Med en effektiv riskhanteringsprocess är det snarare business as usual, oavsett hur många problem man identifierat och åtgärdat under veckan, säger Stefan Pettersson.