Med økende digitale trusler og strengere krav fra myndigheter er det viktigere enn noen gang å jobbe systematisk med cybersikkerhet. Nasjonal sikkerhetsmyndighets (NSM) grunnprinsipper gir norske virksomheter et solid rammeverk for å beskytte sine verdier og sikre kontinuerlig drift.
Disse prinsippene er ikke bare en teoretisk øvelse; de er en praktisk oppskrift på digital motstandskraft som er i tråd med kommende lovkrav som NIS2-direktivet. I denne guiden viser vi hvordan prinsippene kan omsettes til praksis, med konkrete eksempler fra hvordan vi jobber i Visma.
1. Start med oversikt og risikostyring
God sikkerhetsstyring begynner med å vite hva du skal beskytte. Det er avgjørende å kartlegge virksomhetens systemer, dataflyt og avhengigheter. Uten denne oversikten risikerer man å bruke ressurser feil – for eksempel ved å sikre mindre viktige systemer godt, mens kronjuvelene forblir sårbare.
Når du vet hva som er kritisk, kan du gjennomføre en systematisk risikovurdering. Dette innebærer å analysere relevante trusler, identifisere sårbarheter og vurdere konsekvensene av ulike scenarioer. Arbeidet må forankres i ledelsen, med tydelige roller og ansvar.
Eksempel fra Visma: I vårt sikkerhetsprogram (VSP) er kontinuerlig risikostyring sentralt. Vi benytter anerkjente rammeverk som ISO/IEC 27005 for å kartlegge systemer og vurdere risiko. Ledelsen er direkte involvert i oppfølgingen, og sikkerhetsarbeidet styres av et Global Security Operations Center (GCOC) og dedikerte Data Protection Managers (DPM) i hvert selskap.
Ønsker du å lese flere artikler? Abonner på bloggen.
2. Bygg sikkerhet inn i arkitektur og drift
Sikkerhetstiltakene må beskytte det som er viktigst. Dette oppnås ved å bygge en robust sikkerhetsarkitektur der systemer deles inn i soner basert på kritikalitet. De mest verdifulle systemene får den sterkeste beskyttelsen.
To sentrale prinsipper gjelder her:
- Minsteprivilegium: Ansatte skal kun ha tilgang til den informasjonen og de systemene de absolutt trenger for å utføre jobben sin.
- Kontinuerlig overvåking: Systemene må overvåkes løpende for å oppdage og stoppe angrep eller feil så tidlig som mulig.
3. Still sikkerhetskrav ved utvikling og innkjøp
Sikkerhet kan ikke være en ettertanke. Enten du kjøper inn en ny løsning eller utvikler den selv, må sikkerhetskrav være en del av prosessen fra dag én.
Ved innkjøp, be om dokumentasjon på sikkerhetsfunksjoner og sertifiseringer (f.eks. Common Criteria). Ved egenutvikling må sikkerhet integreres i hele livsløpet, fra planlegging til testing og drift. Moderne metoder som DevSecOps, som automatiserer sikkerhetstesting i utviklingsløpet, er effektive, men krever god oversikt og kompetanse.
Eksempel fra Visma: Vi praktiserer DevSecOps og bruker en rekke verktøy for å bygge inn sikkerhet. Static Application Security Testing (SAST) og Software Composition Analysis (SCA) kjøres automatisk for å finne feil i koden tidlig. I tillegg har vi en "bug bounty"-ordning der vi belønner etiske hackere for å finne svakheter i våre systemer. Penetrasjontesting er også en del av dette. Penetrasjonstesting er en kontrollert sikkerhetstest der eksperter aktivt prøver å omgå systemets forsvarsverk for å avdekke sårbarheter før uvedkommende gjør det.
4. Oppdag og fjern kjente sårbarheter
Et av de mest kritiske punktene i NSMs grunnprinsipper er å fjerne kjente sårbarheter før angripere utnytter dem. Dette krever:
- Løpende sårbarhetsskanning: Bruk automatiserte verktøy for å kontinuerlig kartlegge og identifisere svakheter i systemene.
- Trusseletterretning: Ha oversikt over relevante trusler og skadelig kode, og sørg for at antivirus, brannmurer og deteksjonssystemer er oppdaterte.
- Rask respons: Etabler rutiner for å håndtere funnene raskt og effektivt.
Eksempel fra Visma: Våre skymiljøer overvåkes i sanntid med verktøy som Orca Security, som gir oss umiddelbar innsikt i feilkonfigurasjoner og trusler. Dette gir oss muligheten til å rette opp sårbarheter før de blir et problem.
5. Vær forberedt med en plan for hendelseshåndtering
Selv med godt forebyggende arbeid, vil hendelser skje. Evnen til å håndtere det uunngåelige er avgjørende. En virksomhet uten en plan vil kaste bort verdifull tid når krisen inntreffer. Sørg for å ha en hendelseshåndteringsplan som er trent på og kjent i organisasjonen. Planen bør inneholde tydelig rollefordeling, kommunikasjonsstrategier og forhåndsgodkjente tiltak for akutte situasjoner.
Eksempel fra Visma: Vi har etablert en dedikert prosess for hendelseshåndtering (Security and Privacy Incident Process, SPIP). Vi gjennomfører jevnlige øvelser på ulike scenarioer, som løsepengevirus, og samarbeider tett med Nasjonalt cybersikkerhetssenter (NCSC) og politiet for å sikre best mulig respons.
Konklusjon: Systematisk arbeid gir digital motstandskraft
NSMs grunnprinsipper er ikke en sjekkliste man fullfører én gang, men en syklus for kontinuerlig forbedring. Ved å jobbe systematisk med oversikt, risikostyring, teknisk sikring og beredskap, kan din virksomhet bygge en robust digital motstandskraft som beskytter mot dagens trusler og møter fremtidens krav.
Trenger din virksomhet hjelp til å omsette prinsippene til praksis?
