JA, vi arbetar enligt etablerade branschstandarder.
Vi använder etablerade ramverk som ISO 27001, NIST Cybersecurity Framework och OWASP för att skapa struktur och trygghet.
Men… verkligheten längre ner i organisationen ser ofta annorlunda ut:
– Metodiker följs inte konsekvent.
– Utbildning ges – men tid för att praktisera det prioriteras inte
– Nya medarbetare får ingen genomgående onboarding kring säkerhet.
Och vi upplever att det finns en annan blind fläck:
Vi tänker ofta på hot utifrån, men vad händer om hotet kommer inifrån?
Då är det betydligt enklare att fel information rapporteras utåt.
Skyddet inifrån har man inte tagit i beaktning.
Tänk på att säkra kanalerna som skickar ut information, lika mycket som du skyddar dig mot intrång.
Vi märker allt oftare att utvecklingsteam slarvar med backend-validering bara för att “frontenden ju redan kontrollerar datan”. Det är ett antagande som kan bli dyrt.
När backend litar blint på klienten öppnar man dörren för allt från subtila buggar till allvarliga säkerhetshål och det räcker med en kreativ användare.
Slutsats:
Våra kunder har bra ramverk och hög kunskap om säkerhet men efterlevnaden brister.
Luckor upptäcks inte, och ju större organisationen är, desto svårare blir det att nå alla led.
Fråga till dig:
Hur säkerställer ni att säkerhetsarbetet lever i hela organisationen, inte bara på papperet?