Jenny Rosberg

Det bästa med att gå på seminarier är att få nya perspektiv och nätverka. Idag var jag på PwC styrelseseminarium för den finansiella sektorn på temat “Under Cyber Attack”. Det var bra men stort fokus på storbanker som har stora staber och egna servrar. För de flesta bolag så är verkligheten en annan. Beroendet av tredjepartleverantörer är stort. Här är tio plus en bra frågor att ha koll på:

• Har vi brandväggar och virusskydd?
• Vilka har access till vilka system och vilka databaser?
• Hur ofta pratar vi om IT-säkerhet och vad vi som organisation kan göra? Det spelar ingen roll hur snygg IT-säkerhetspolicy bolaget har, om den inte implementeras med löpande utbildning och dialog så är den en pappersprodukt.
• Vilken data är affärskritisk och i vilka databaser finns den?
• Vilka system och plattformar är vi beroende av?
• Var finns servrarna för mina molntjänster? Efter mina år på Nasdaq så är jag noga med att hålla min information på europeiska servrar.
• Hur säkerställer jag tillgång till min data, mina “kronjuveler”, om tredjepartsleverantören, exempelvis google, microsoft, salesforce blir attackerade och stänger ner?
• Hur kommer jag snabbt igång med mail och hemsidan om min hostingleverantör får problem med sina servrar?
• Vad gör jag om personuppgifter och känslig information hämtas ut från mina databaser?
• Hur säkerställer vi kontroll över vår hemsida? Tips – Använd DNS på hemsidan, använd inte användarnamn med admin@ och ställ in svåra lösenord.
• Hur gör vi för att skicka krypterade mail via vår mailclient? (Behövs för korrespondens med FI vid uppskjutet offentliggörande)

Det stökiga med tredjepartsleverantörer är att de ofta har väldigt begränsad service, enda möjliga kontaktvägen in är via nätet och en #ticket.

En stor IT-säkerhetsrisk i alla börsbolag är styrelsen. Styrelseledamöter har ofta privata e-postadresser och privata datorer saknar ofta uppdaterade brandväggar och virusprogram.