Clavister, ett svenskt företag specialiserat på IT-säkerhet och UTM-produkter (Unified Threat Management), har tagit fram ett white paper med rekommendationer om att man bör betrakta säkerhet som en fortlöpande process och användning av beprövade metoder och breda säkerhetslösningar som skyddar mot många olika typer av hot. De flesta mindre företag har nämligen inte den expertis som krävs för att hålla jämna steg med den snabba utvecklingen inom attackmetoder och olika sätt att exploatera sårbarheter.

- Det är viktigt att göra rätt från början, säger John Vestberg, CTO hos Clavister. - Det är en vanlig missuppfattning att större organisationer är mer riskutsatta än små och medelstora företag. Ofta förhåller det sig precis tvärtom, eftersom storföretagen regelmässigt har sofistikerade skydd och de mindre företagen därmed blir enklare mål för hackers och cyberkriminella. Man måste följaktligen betrakta säkerhet som ett grundläggande behov, oavsett företagets storlek.

Clavister rekommenderar mindre företag att inventera säkerhetshoten, något som kräver en systematisk analys av riskerna och kartläggning av den befintliga it-infrastrukturen innan man går vidare och tittar på regelverk och vilka skyddsåtgärder som står till buds. Man bör därvid ställa sig följande frågor:

1. Vilka system och resurser måste jag skydda?
2. Vad är det kommersiella värdet eller affärsnyttan av dessa resurser?
3. Vilka potentiella hot står dessa resurser inför?
4. Hur stor är sannolikheten att dessa hot förverkligas?
5. Vilken inverkan kan dessa hot ha på vår verksamhet?

- Att analysera risker är det första steget mot förbättrad säkerhet, säger John Vestberg.

Oavsett om riskerna är relaterade till nätverkssäkerhet eller andra aspekter av verksamheten måste en effektiv analys inventera de potentiella hoten och slå fast i vilken grad företaget är sårbar för dessa hot för att kunna bedöma den potentiella ekonomiska skadan i olika scenarier. Först därefter kan man ta ställning till en investering i it-säkerhetsutrustning.

- För att kunna hålla jämna steg med den ständigt föränderliga hotbilden är det fel att betrakta it-säkerhet som en engångsinvestering, snarare handlar det om en löpande underhållskostnad, säger John Vestberg avslutningsvis.