CYBERSIKKERHED
Det bedste forsvar
er en smidig
organisation
Virksomheder bør kigge på strukturen i
deres organisation, hvis de vil ruste sig
mod cyberangreb, lyder det fra forsker.
mod uventede hændelser som bl.a.
cyberangreb stadig sværere. Som forsker
i cyberrisiko har han bemærket en
ny tendens:
”I stedet for at lægge hele indsatsen
på at forebygge cyberangreb er nogle
organisationer begyndt at arbejde med,
hvordan de skal reagere på et angreb.
Den rigtige reaktion er afgørende for,
hvor hårdt og hvor længe angrebet
påvirker virksomheden,” siger Daniel
Sepulveda Estay.
Analyser af cyberangreb
I sin forskning har Daniel Sepulveda
Estay bl.a. analyseret et konkret cyberangreb
på en amerikansk it-hardware
virksomhed. Virksomheden fik
Lotte Krull
Shutterstock
Cyberkriminalitet er i stigning,
og virksomheder er ofte
målet. Da virksomhederne
indgår i stadig mere komplekse
netværk, både i form
af it-løsninger og globale forsyningskæder
med mange leverandører, er
mangfoldigheden af risici stor. Det gør
det til en meget omfattende opgave for
virksomhederne at lave en retvisende
risikoanalyse, siger postdoc Daniel
Sepulveda Estay fra DTU Management
Engineering. Han har med sine
ti års erfaring som bl.a. supply chain
manager i Coca Cola og i mineselskabet
BHP Billiton på nærmeste hold
iagttaget, hvordan kompleksiteten gør
opgaven med at beskytte virksomheden
stjålet data om en række nye produkter,
som de var tæt på at gå på markedet
med. Angrebet betød bl.a., at virksomheden
mistede nogle store kunder, og
hændelsen gik ud over virksomhedens
indtjening i op mod fem år efter tyveriet.
”Modstandsdygtighed handler ikke
om at undgå angrebene, men om, hvor
hurtigt virksomheden kan komme
sig efter et angreb. En virksomhed er
modstandsdygtig, hvis den er i stand
til at dæmme op for ødelæggelserne og
hurtigt komme tilbage til normalt aktivitetsniveau,”
siger Daniel Sepulveda
Estay.
”I vores forskning udfordrer vi den
traditionelle måde at analysere risici
i forsyningskæden på, fordi mangfoldigheden
af risici er blevet så enorm,
at de traditionelle metoder til risikoanalyse
kommer til kort,” siger Daniel
Sepulveda Estay.
Han mener, at man kan forbedre
risikoanalysen ved at gå bort fra de
statiske analyser, der fokuserer på en
virksomheds driftssikkerhed, og i stedet
anvende dynamiske analyser, hvor fokus
20 CYBERSIKKERHED DYNAMISK RISIKOANALYSE