Cybersäkerhet i fokus under oktober

Cybersäkerhet genom hela produktutvecklings-processen

Alexander Taschke arbetar främst med produktsäkerhet inom industrin och berättar hur han säkerställer att företag följer relevanta riktlinjer och standarder för att skapa säkra produkter från början till slut.

”Mitt arbete inkluderar allt från riskbedömning och design till testning och release av produkterna. Jag ser till att säkerheten integreras i varje steg av produktutvecklingsprocessen, så att vi kan vara säkra på att produkterna uppfyller alla säkerhetskrav när de släpps på marknaden,” förklarar Alexander.

Han betonar vikten av kontinuerlig övervakning även efter att en produkt lanserats.

”Det handlar om att säkerställa att produkten förblir säker under hela sin livscykel. Genom att implementera säkerhetsåtgärder och följa etablerade standarder skyddar vi både företag och användare mot cyberhot.”

När det kommer till vanliga säkerhetsbrister är det ofta den mänskliga faktorn som utgör den största svagheten, enligt Alexander.

”Bristande medvetenhet och en ovilja att prioritera säkerhet är stora problem. Det saknas ofta tydliga och konsekvent tillämpade säkerhetsrutiner, och utbildning i cybersäkerhet är ofta eftersatt,” säger han och understryker att utbildning av personalen, särskilt ledningen, är nyckeln till att bygga en säkerhetskultur.

Att sätta säkerheten på prov

Jesper Blomström, som är Security Testing Lead på HiQ, arbetar med att samordna och utveckla företagets säkerhetsgranskningar – ofta kallade penetrationstester eller pentest.

”Mitt uppdrag är att träffa kunder, förstå deras behov och bygga ut vår förmåga, verktyg och arbetsmetoder för säkerhetsgranskning,” säger Jesper.

Han ser ofta hur brister i lösenordshantering och konfigurationsmissar i molntjänster skapar stora säkerhetsrisker.

”Problembilden har skiftat från on-prem-lösningar till molntjänster, och det finns fortfarande många företag som inte har koll på konfigurationen av sina molnmiljöer,” berättar Jesper. “Att som företag landa i en hybridlösning kan ibland öka den exponerade attackytan”, säger han, och tillägger också att exponering av sårbara tjänster och bristande kontroll av API-nycklar är vanligt förekommande problem.

För att minimera dessa risker rekommenderar han att företag tar bort beroendet av lösenord, tillämpar Principle of Least Privilege och har noggrann koll på sin molnmiljö.

Governance, Risk och Compliance som försvarslinje

Lovisa Göransson Ording arbetar inom området Governance, Risk och Compliance (GRC) och hjälper företag att skapa motståndskraft mot cyberhot genom att identifiera och hantera säkerhetsrisker.

”Genom att implementera och säkerställa efterlevnad av regelverk som GDPR eller NIS2 stärker vi förtroendet hos allmänheten och gör samhället mer motståndskraftigt mot cyberhot,” säger Lovisa.

Hon ser också att många företag missar att utbilda sin personal eller skapa en säkerhetskultur. Det leder till att mänskliga fel, som phishing eller bristande lösenordshantering, fortsätter att vara vanliga orsaker till intrång.

”Säkerhetsarbete måste bli en naturlig del av verksamheten, inte bara en teknisk fråga. Genom att tillämpa ett riskbaserat arbetssätt och regelbundet utvärdera sina processer kan företag bättre anpassa sig till nya hot och förändrade regelverk,” förklarar hon.