Er bestyrelserne ved at tabe kampen til cyberkriminalitet?

af Jesper Helbrandt, IFCR

Det er umuligt at fjerne cybertrusler, så det er den øverste ledelses problem at beskytte organisationerne mod truslerne uden at forstyrre forretningsinnovation og vækst.

I alt for mange organisationer er cybersikkerhed blevet betragtet som et teknologiproblem, hvilket er et kæmpe problem og udtryk for manglende forståelse.

Den tid, hvor bestyrelsen bare nikkede og stolede på IT-teamet, når det kom til cybersikkerhed, er ovre. Det igangværende daglige arbejde med god sikkerhedspraksis skal fortsætte, men der skal gøres mere på det strategiske niveau for at afgøre, hvor og hvordan fremtidige trusler skal diskuteres. Der kræves et kvantespring af bestyrelsen for at indhente det gap, der er i de fleste bestyrelser i forhold til viden om og forståelse af cybersikkerhed.

Det er ikke et udtryk for, at bestyrelsen ikke ønsker at blive involveret, det skyldes i højere grad, at sikkerhed traditionelt ikke har været en grundlæggende forretningsaktivitet, der er blevet styret og diskuteret som f.eks. økonomi, salg eller markedsføring. Bestyrelserne er simpelthen ikke klædt på til at kunne bidrage til en konstruktiv drøftelse omkring dette alvorlige emne og skal derfor hjælpes i gang på den rigtige måde. GDPR og de forholdsvist massive bøder, som vi allerede har set, skal nok hjælpe med at få cybersikkerhed på dagsordenen i bestyrelseslokalet. Det vil med garanti skabe en bedre og bevidst sammenhæng mellem virksomheden og dens sikkerhed og forhåbentlig også passende investeringer.

 

Tid for bestyrelsen at komme ind i kampen

inden det er for sent

 

Hvad skal der gøres for at sikre, at cybersikkerhed er tilstrækkeligt adresseret?

Cybersikkerhed bør være et fast punkt på dagsorden både i direktionen og bestyrelsen. Hvis man vil være på forkant med truslerne, kræver det en løbende dialog for at sikre, at strategien løbende udvikler sig og løbende balancerer forholdet mellem forretningsmuligheder og risici. Denne dialog bør starte med en række kritiske spørgsmål:

  • Hvem er ansvarlig for at udvikle og vedligeholde vores tværfunktionelle tilgang til cybersikkerhed? I hvilket omfang ejer forretningsledelsen (i modsætning til it- eller compliance-ansvarlige) dette spørgsmål?
  • Hvilke informationsaktiver er mest kritiske, og hvad er ”på spil” i tilfælde af brud? Hvilke løfter – implicit eller eksplicit – har vi givet vores kunder og partnere mht. at beskytte deres information?
  • Hvilke roller spiller cybersikkerhed og tillid i forhold til vores kunder, og hvordan sikrer vi at holde dataene sikre og understøtte den endelige kundeoplevelse?
  • Hvordan bruger vi teknologi, forretningsprocesser og andre tiltag på at beskytte vores kritiske informationsaktiver? Hvordan ligger vi i forhold til andre og bedste praksis?
  • Hvordan administrerer vi vores leverandør- og partnerforhold for at sikre gensidig beskyttelse af oplysninger?

Efterhånden som mere og mere bliver digitaliseret, og virksomheder anvender mere innovative måder at interagere med kunder og andre partnere på, vil cybersikkerhedsudfordringen kun øges.

Da mængden af angreb og kompleksitet i it-miljøer er steget meget hurtigt, kræver det, at man er i stand til at tackle denne udfordring, der spænder over strategi, drift, risikostyring og juridiske og teknologiske funktioner. Virksomheder er derfor nødt til at gøre dette til en bredt funderet ledelsesopgave med mandat for at være i stand til at beskytte kritiske informationsaktiver uden at lægge begrænsninger for forretningsinnovation og vækst.

Læs også artiklen “De to mest almindelige årsager til at virksomheder bliver hacket”