Svaret på dette spørgsmål bør være givet, når vi ser på de talrige alvorlige cyberhændelser, vi har oplevet de seneste år, og som kun de færreste havde fantasi til at forudsige.
Ved databrud vil en manglende fantasi ofte resultere i, at ledelsen ignorerer årsagen til det, der forårsagede det succesfulde angreb. Det kan bl.a. få betydning for CISO´ens budget samt oplevelsen af ledelsens opbakning til at få gennemført de nødvendige justeringer eller ændringer. Endelig kan mangel på fantasi få bestyrelsen til at antage, at ledelsen har styr påcyber risk-situationen, selvom ledelsen faktisk har fralagt sig alt ansvar for sikkerheden.
“Du kan ikke stole på dine øjne, når din fantasi er ude af fokus.” – Mark Twain.
En falsk følelse af sikkerhed
Der findes mange undskyldninger for manglende engagement, dårlig ledelse og forkert håndtering af cyberrisici. I nogle tilfælde er CISO’erne selv årsag til, at situationens alvor ikke kommer frem i lyset, og at de nødvendige og svære drøftelser med ledelsen ikke finder sted. Sikkerhedsansvarlige kan i nogle situationer helt undlade at handle for at beskytte deres position i organisationen. I andre situationer kan det skyldes en virksomheds kultur, hvis man har tradition for at feje problemerne ind under gulvtæppet.
På trods af de åbenlyse udfordringer, som mange organisationer står over for, hvordan kan man så få CEO, CFO og bestyrelse m.v. til at øge deres engagement, når det handler om cybersikkerhed?
Svaret er egentlig ligetil. Det kræver bare, at vi kan få topledelsen til at lære igen og mod alle ods få dem til at tænke som et barn, der er udstyret med både en veludviklet nysgerrighed og fantasi.
Nysgerrighedens kraft
Nysgerrighed skaber en tørst efter viden og et ønske om at finde svar på brændende spørgsmål. Det påvirker folk til at se på det almindelige og spørge, hvorfor det er sådan og ikke på en anden måde. På den måde udfordrer man og igangsætter en udviklende proces.
Nysgerrige ledere vil sætte spørgsmålstegn ved, hvad de får at vide, og søge at forstå og validere sandheden af udsagn, de bliver præsenteret for. I stedet for at tage cyberrisiko- og it-revisionsudsagn for pålydende, bør topledere undersøge dybere og udfordre. Når man bliver informeret om, at en opdatering har lukket det seneste hul i en organisations forsvar, vil en nysgerrig leder f.eks. spørge, om det er ordentligt konfigureret, testet og implementeret korrekt, hvilket er et stort skridt i forhold til en mere sikker verden.
Omfavn fantasi for at imødegå cyber risk
Hvis nysgerrighed påvirker os til at spørge “hvorfor”, gør fantasien os i stand til at drømme om “hvad hvis” og “hvad ellers.” Ligesom en rapport efter et databrud, der kortlægger forløbet krydret med fantasi, vil udvide vores forståelse af, hvilke udfordringer vi kan risikere at skulle håndtere. Med fantasiens kraft tages intet for givet.
I cyberverdenen vil fantasien kunne få den øverste ledelse til at overveje virkningen af, hvis flere systemer bryder sammen, organisationens data bliver fanget af ransomware eller et datalæk, der skader mere end selve angrebet. Manglende fantasi er ofte årsagen til, at nogen i organisationen falder for en phishing-e-mail eller et andet socialt engineering-kneb.
Undgå mislykket fantasi
Kombinationen af nysgerrighed og fantasi giver topledelsen mulighed for at engagere sig og overveje alle de vinkler, der er relateret til cybersikkerhed. Fantasi påvirker dem til at drømme om nye måder, hvorpå en angriber vil kunne komme ind, og nysgerrighed opfordrer dem til at spekulere over, hvad der vil ske, hvis det skete. Denne tilgang giver organisationen mulighed for at undersøge nye områder og styrke sikkerheden i hele virksomheden.
Ved fuldt ud at omfavne både fantasi og nysgerrighed kan ledelsen erstatte den falske følelse af sikkerhed med en klar indsigt i organisationens cybermodstandsdygtighed. Men ægte cybermodstandsdygtighed kræver også endnu et træk: mod.
Ledere har altså brug for fantasi og nysgerrighed for at forstå og kunne vurdere alle de risici, organisationen står over for, men der er også brug for mod til at stille de ubehagelige spørgsmål for at opnå mest mulig modstandsdygtighed.
I stedet for at spørge:
Kan XXX ske for os?
Spørg:
Hvad er hele det sandsynlige udfaldsrum af de cyberhændelser, der kan ramme os, og hvad vil konsekvensen være?
I stedet for at spørge:
Hvor godt er vi rustet til at opdage en sådan hændelse?
Spørg:
Kan der forekomme hændelser, som ikke bliver opdaget, eller som bliver fejlfortolket og derved kan påføre os større skade?
I stedet for at spørge:
Hvor godt er vi i stand til at reagere på en sådan hændelse?
Spørg:
Hvordan undgår vi at fejle ved sådan en hændelse? Hvad vil konsekvensen være, hvis vi fejler?
I stedet for at spørge:
Hvor godt og hvor hurtigt er vi igen tilbage i normal drift efter en hændelse?
Spørg:
Kan sådan en hændelse være livstruende for vores virksomhed? Kan hændelsen eller de handlinger, vi foretager som reaktion på hændelsen, forårsage uoprettelig skade på vores systemer eller organisation?
Hvis vi evner at få stillet de rigtige spørgsmål som en naturlig del af vores arbejde med risikostyring, kan nysgerrighed og fantasi kombineret med klar, ærlig og hyppig kommunikation hjælpe virksomhedsledere med at være ærlige over for sig selv om de risici, organisationen står over for, og dens evne til at håndtere dem. Selvom det kan være en svært fremkommelig vej, er den endelige destination – forbedret sikkerhed og modstandsdygtighed – alle anstrengelserne værd.