I alt for mange organisationer er cybersikkerhed blevet betragtet som et teknologiproblem, hvilket er et kæmpe problem og udtryk for manglende forståelse.
Den tid, hvor bestyrelsen bare nikkede og stolede på IT-teamet, når det kom til cybersikkerhed, er ovre. Det igangværende daglige arbejde med god sikkerhedspraksis skal fortsætte, men der skal gøres mere på det strategiske niveau for at afgøre, hvor og hvordan fremtidige trusler skal diskuteres. Der kræves et kvantespring af bestyrelsen for at indhente det gap, der er i de fleste bestyrelser i forhold til viden om og forståelse af cybersikkerhed.
Det er ikke et udtryk for, at bestyrelsen ikke ønsker at blive involveret, det skyldes i højere grad, at sikkerhed traditionelt ikke har været en grundlæggende forretningsaktivitet, der er blevet styret og diskuteret som f.eks. økonomi, salg eller markedsføring. Bestyrelserne er simpelthen ikke klædt på til at kunne bidrage til en konstruktiv drøftelse omkring dette alvorlige emne og skal derfor hjælpes i gang på den rigtige måde. GDPR og de forholdsvist massive bøder, som vi allerede har set, skal nok hjælpe med at få cybersikkerhed på dagsordenen i bestyrelseslokalet. Det vil med garanti skabe en bedre og bevidst sammenhæng mellem virksomheden og dens sikkerhed og forhåbentlig også passende investeringer.
Hvad skal der gøres for at sikre, at cybersikkerhed er tilstrækkeligt adresseret?
Cybersikkerhed bør være et fast punkt på dagsorden både i direktionen og bestyrelsen. Hvis man vil være på forkant med truslerne, kræver det en løbende dialog for at sikre, at strategien løbende udvikler sig og løbende balancerer forholdet mellem forretningsmuligheder og risici. Denne dialog bør starte med en række kritiske spørgsmål:
- Hvem er ansvarlig for at udvikle og vedligeholde vores tværfunktionelle tilgang til cybersikkerhed? I hvilket omfang ejer forretningsledelsen (i modsætning til it- eller compliance-ansvarlige) dette spørgsmål?
- Hvilke informationsaktiver er mest kritiske, og hvad er ”på spil” i tilfælde af brud? Hvilke løfter – implicit eller eksplicit – har vi givet vores kunder og partnere mht. at beskytte deres information?
- Hvilke roller spiller cybersikkerhed og tillid i forhold til vores kunder, og hvordan sikrer vi at holde dataene sikre og understøtte den endelige kundeoplevelse?
- Hvordan bruger vi teknologi, forretningsprocesser og andre tiltag på at beskytte vores kritiske informationsaktiver? Hvordan ligger vi i forhold til andre og bedste praksis?
- Hvordan administrerer vi vores leverandør- og partnerforhold for at sikre gensidig beskyttelse af oplysninger?