Cybersikkerhed skal bringes i øjenhøjde for at skabe forståelse i virksomhedernes bestyrelser – eller slaget er tabt på forhånd.

af Jesper Helbrandt, Institut for Cyber Risk

 

Forestil dig en situation, hvor du blev ansvarlig for et område, der lå uden for din jobbeskrivelse og dine kompetencer, og som kan tage livet af virksomheden, hvis det ikke blev udført korrekt. Skræmmende, ikke?

I den digitale tidsalder, hvor cyberkriminaliteten fylder mere og mere i vores hverdag, og hvor faren for et cyberangreb lurer konstant, bør cybersikkerhed være ”top of mind” hos alle medarbejdere i organisationen, fra produktionen til direktionsgangen. For mange bestyrelser er cybersikkerhed en skræmmende virkelighed og en opgave, de har svært ved at forholde sig til.

Stramninger af lovgivningen og udviklingen i de generelle strømninger i samfundet bør gøre cybersikkerhed til en topprioritet og et ansvarsområde i bestyrelsens arbejde. Men det er lettere sagt end gjort. En typisk bestyrelse mødes ca. fire gange om året og er som oftest sammensat af tidligere topchefer, der nu er pensioneret og har, ved siden af egne investeringer og andre bestyrelsesposter, golf og bridge i kalenderen. De har sjældent den tid, det kræver at dedikere sig til dette komplekse område, som cybersikkerhed er. Hvordan vi end vender og drejer det, er en bestyrelse kun i stand til at udføre deres arbejde optimalt, når de lever op til deres ansvar.

En bestyrelse bør forstå trusler, forsvar, værktøjer, infrastruktur, menneskelige ressourcer og de økonomiske omkostninger relateret til cybersikkerhed, men uden de rigtige værktøjer og informationer er det en umulig opgave. En anden væsentlig udfordring er, at der blandt ledelsen på it-området ofte tales et sprog, som bestyrelsen kæmper med at forstå.

Deres relativt få og knap så frekvente møder må afvikles på en effektiv måde, der resulterer i en fælles forståelse af de forretningskritiske risici, en organisation står overfor. Et ”framework” kan være med til at bygge bro mellem teknikere og bestyrelser og sikre en fælles forståelse for de politikker og procedurer, der er på plads for at imødegå cyberrisici.

I it-organisationen er der en tendens til at tro, at jo mere detaljerede og omfattende præsentationer er, i forhold til hvad bestyrelsen har brug for, jo bedre, men det er en meget forfejlet opfattelse. Det, den it-sikkerhedsansvarlige bør lægge vægt på, er kun de kritiske elementer, der udgør en forretningsrisiko, når det gælder cybersikkerhed.

Desværre formår mange bestyrelser heller ikke altid at stille de nødvendige spørgsmål vedrørende cybersikkerhed til den it-sikkerhedsansvarlige, da mangel på ekspertise gør, at de ofte ikke ved, hvilke spørgsmål der skal stilles. Og skulle de alligevel forsøge sig, kan selve svaret være endnu en udfordring. Ledelsen og bestyrelsen deler et fælles ansvar for at sikre en passende proces for håndtering af den stigende cyberrisiko, så de nødvendige beslutninger træffes på et kvalificeret grundlag.

Planlæg en effektiv samtale om cybersikkerhed mellem bestyrelsen og IT. Det kræver god planlægning, dialog, uenighed og kompromiser at nå til enighed om en strategi for effektiv cybersikkerhed. Cybersikkerhed er meget teknisk, udvikler sig konstant og hurtigt, det kræver løbende investeringer, masser af opmærksomhed, og i det hele taget kræver det betydelige ressourcer at kravle op af cybermodenhedsstigen. Men selvom løsningerne er dyre og kræver mange ressourcer, vil fejl ofte være langt dyrere, når organisationen står i en situation, hvor de er taget som gidsel af it-kriminelle, har lækket data, nedbrud eller andet.

Så lad mig opsummere. Tre gode råd til bestyrelsen, ledelsen og it-sikkerhedsorganisationen i de danske virksomheder om håndtering af cybersikkerhed:

  1. Til bestyrelsen: Accepter, at cybersikkerhed er jeres ansvar som bestyrelse. Sæt jer godt ind i, hvad cybersikkerhed egentlig er, brug den tid, det kræver, malk viden ud af de mennesker, som til dagligt kæmper en ulige kamp mod it-kriminelle, og stol på deres råd om, hvad det kræver ressourcemæssigt, men stil også krav.
  2. Til ledelsen: Det er nødvendigt med et selvstændigt it-sikkerhedsbudget, i stedet for at det er del af et samlet it-budget, for hvordan skal det ellers være muligt at måle udbyttet? Den it-sikkerhedsansvarlige skal være en del af ledelsen, så I altid har fingeren på pulsen med, hvad der sker. Sæt krav til it-organisationen og test, at deres initiativer rent faktisk virker.
  3. Til it-sikkerhedsorganisationen: Tal et sprog, som alle forstår, og hold det til det mest kritiske. Synliggør jeres projekter og initiativer. Prioritér indsatserne ved at have styr på den basale cyberhygiejne, og pluk de lavt hængende frugter ved f.eks. at uddanne medarbejderne i virksomheden. Kræv taletid hos ledelsen.

Husk, det kræver god planlægning, dialog, uenighed og kompromiser at flytte sig.