En helhetlig tilnærming til sikkerhet

Sikkerhetssjef i GlobalConnect, Jan Gunnar Lillebo, har bakgrunn fra politiet som politioverbetjent og fagspesialist og fra Forsvaret med operativ tjeneste og utenlandsoppdrag. Vi tok en prat med ham om de forskjellige sikkerhetsdimensjonene bedrifter må forholde seg til i tillegg til IT-sikkerhet, og hva som er viktig å huske på for å opprettholde et godt sikkerhetsnivå.

 

Hei, Jan Gunnar! Kan du forklare hva ditt arbeid innen sikkerhet består av og hvorfor dette er viktig?

– Arbeid med sikkerhet i en virksomhet – også hos oss i GlobalConnect – handler i korte trekk om å sørge for at man til enhver tid er i stand til å motstå mulige trusler og trusselaktører, i tillegg til å ha en god beredskap om noe mot formodning skulle skje. Et godt beslutningsgrunnlag for helhetlig sikkerhetsstyring med kontinuerlig kontroll av sikkerhetstilstanden er essensielt i dette arbeidet. For GlobalConnect er dette spesielt viktig da vi både eier og drifter digital infrastruktur på vegne av både privat næringsliv og virksomheter med samfunnskritiske funksjoner.

 

Hvilke erfaringer og egenskaper fra din tid i politiet og Forsvaret benytter du deg av i ditt daglige virke som sikkerhetssjef hos GlobalConnect?

– For at vi skal kunne treffe de riktige beslutningene er det viktig å ha et godt kunnskapsgrunnlag som både er forsknings- og erfaringsbasert. I tillegg må de tiltakene som iverksettes evalueres i forhold til om de gir ønsket virkning. Både politiet og Forsvaret benytter seg av en etterretningsprosess som genererer tiltak basert på kunnskap, noe som vi har overført til vår virksomhet i GlobalConnect.

“Kun de som har en faktisk oppgave eller funksjon får tilganger eller adganger til vår infrastruktur. Dette bidrar til å beskytte virksomhetens verdier ved å ha flere nivåer av tilgangs- og adgangsstyring.”

– En annen viktig egenskap som jeg har tatt med meg er et særlig fokus på tilgangs- og adgangsstyring ved at alle tilganger til systemer og informasjon, eller adgang til kontorer, tekniske lokasjoner og datasentre, er gitt ut fra et strengt tjenstlig behov som følger prinsippene om «need to know» og «need to have» og ikke «nice to know» og «nice to have». Dette betyr at det kun er de som har en faktisk oppgave eller funksjon som får tilganger eller adganger til vår infrastruktur. Dette bidrar til å beskytte virksomhetens verdier ved å ha flere nivåer av tilgangs- og adgangsstyring.

 

Er det noen sikkerhetsaspekter som kanskje ikke er allment kjent for bedrifter?

– Det meste er nok kjent, men kanskje ikke alltid like mye i fokus. Forebyggende sikkerhet er i flere virksomheter et tilleggsansvar ved siden av andre løpende oppgaver. Dette resulterer dessverre alt for ofte i at det forebyggende arbeidet blir satt i andre rekke og således mister fokus. I GlobalConnect har vi en egen sikkerhetsavdeling som kun har sikkerhet som arbeidsoppgave. Dette sikrer at sikkerhet alltid er i fokus. Dette er et aspekt ved sikkerhet som kanskje ikke er så vel tenkt igjennom når sikkerhetsansvar i mange bedrift skal plasseres.

 

Hvilken betydning har GlobalConnects fokus på sikkerhet for våre kunder?

– Sikkerhet er integrert i alle aspekter av GlobalConnect og de tjenester vi leverer. Vi er underlagt lov om nasjonal sikkerhet (sikkerhetsloven) som medfører at vår grunnlinje for sikkerhet ligger høyt. Så om du som kunde er en større statlig aktør med høye sikkerhetskrav eller en liten familiebedrift, så vil vår sikkerhetsgrunnlinje være den samme.

“Våre tjenester er bygd for å tåle ekstremt høy belastning og vår beredskapsbaseline kommer alle våre kunder til gode.”

– I tillegg til GlobalConnects høye sikkerhetsfokus så er vi en profesjonell beredskapsorganisasjon, underlagt lov om elektronisk kommunikasjon med høye krav til å sikre vår drift i fred og krise og i ytterste konsekvens krig. Vår infrastruktur har en høy grad av redundans gjennom bruk av separate føringsveier som er teknologisk uavhengig av hverandre. I tillegg har vi døgnkontinuerlig monitorering av vårt nettverk, og har både nasjonalt distribuerte beredskapslagre og servicemannskaper i stand-by.  Våre tjenester er bygd for å tåle ekstremt høy belastning og vår beredskapsbaseline kommer alle våre kunder til gode.

 

Hva bør norske bedrifter sette søkelys på for å være forberedt ved eventuelle sikkerhetstrusler?

– Jeg ønsker å trekke frem to ting. Det første er helhetlig sikkerhet som ivaretar hele verdikjeden på sikkerhetssiden. Selv om en bedrift sikrer seg mot cybertrusler og uberettiget tilgang til systemer, så er det fort gjort å glemme at disse systemene ligger på en form for hardware. Hardware oppbevares i et bygg eller i et rom, og adgang gis til personell i likhet med tilgang til systemer. Dette betyr at om man skal sikre egne systemer så må man i tillegg til cybersikkerhet også fokusere på objektsikkerhet og personellsikkerhet.

“Selv om en bedrift sikrer seg mot cybertrusler og uberettiget tilgang til systemer, så er det fort gjort å glemme at disse systemene ligger på en form for hardware. Dette betyr at om man skal sikre egne systemer så må man i tillegg til cybersikkerhet også fokusere på objektsikkerhet og personellsikkerhet.”

– Det andre jeg ønsker å trekke frem er faren ved manglende beredskap og evne til å kunne fortsette driften om en uønsket situasjon oppstår. Dette betyr behov for nødvendig backup av data om denne skulle gå tapt eller bli utilgjengelig, det å ha en sentral kunnskapsdatabase om personell skulle falle ifra, i tillegg til redundante linjer for elektronisk kommunikasjon for virksomheter som er avhengig av dette for å kunne operere. Ved å ha redundante linjer, backup av data og kunnskap så vil en bedrift være bedre rustet på både tilsiktede og utilsiktede hendelser.