Vad varje VD behöver veta om cybersäkerhet

Report this content

Det är självklart att cybersäkerhet är en ledningsfråga, men det gäller att inte krångla till det. Skala bort tekniken så återstår ett antal tydliga ansvarsfrågor för vd och styrelse att ta till sig, skriver Åsa Edner, Sverigechef på Palo Alto Networks.



Att cybersäkerhet måste bli en ledningsfråga har du säkert hört många gånger. Och det är lätt att instämma, men eftersom det låter som en klyscha leder det troligen bara till en axelryckning. Det blir betydligt intressantare om vi byter detta påstående mot en enkel fråga: ”Vilka frågor inom cybersäkerhet bör ledningen driva för att proaktivt säkra företagets strategier och initiativ?”

Ansvaret kring det som rör tekniken ska självklart fortsätta ligga hos specialisterna som håller i ert dagliga säkerhetsarbete. Låt oss i stället prata om ansvar. Där har du som VD en central roll.

En grundläggande ansvarsfråga för ledning och styrelse är att veta var den egna organisationen står; hur hotbilden ser ut mot er verksamhet, hur den är exponerad mot internet och givet det, hur god er beredskap är.

Här återstår mycket att göra. Vi lät nyligen YouGov göra en undersökning bland svenska företagsledare som visade att knappt hälften (49 %) av de tillfrågade sade sig ha ”god” eller ”fullständig” förståelse för cyberriskerna som deras organisation står inför, medan en av fem (19 %) hade ”ingen” eller ”dålig” förståelse.

Samtidigt var det bara en dryg fjärdedel (26 %) som gjort en fullständig bedömning av den potentiella ekonomiska förlusten i händelse av en framgångsrik cyberattack. Detta visar att många vd:ar delegerar bort det tekniska ansvaret, men inte tar sitt affärsmässiga ansvar fullt ut.

Om du tittar närmare på frågorna som kräver ledningens uppmärksamhet bör de dock kännas varken svåra eller främmande. Och det går som regel att räkna både på skadorna som cyberattacker kan orsaka och de investeringar ni gör för att skydda er.

Riskerna är nya – ansvaret detsamma

Riskhantering är en självklar del av ledningens och styrelsens ansvar. I takt med digitalisering, automation och AI växer de IT-relaterade affärsriskerna, och att hantera dessa blir än viktigare. Sårbarhet och i förlängningen en allvarlig attack kan bli ett existentiellt hot där hela verksamheten sätts på spel.

Att skydda data, system och nätverk betraktas dock fortfarande av många som stödfunktioner, fjärran från kärnverksamheten. Med en sunt affärsmässig syn blir digital säkerhet i stället en förutsättning för strategisk digital affärsutveckling, för att skydda innovationer, affärsidéer och verksamheten i sig.

Var ska då en styrelse eller vd börja för att axla ansvaret för cybersäkerheten? Här är några centrala frågor som är en god utgångspunkt för ledningen:

         Förstå riskerna – och värdera dem. Se till att kartlägga cyberriskerna som er organisation står inför och värdera dem finansiellt. Våga ställ frågor om ”worst case” – vad kan en framgångsrik cyberattack mot oss leda till? Hur lång tid tar det att återställa driften av kritiska verksamhetssystem? Hur mycket kostar det oss per dag, vecka och månad att stå still?

         Prioritering. För att hålla jämna steg med en hotbild som förändras snabbt måste cybersäkerhet vara prioriterat hos alla i organisationen, och det bör starta från toppen med styrelsen och ledningsgruppen.

         Beredskap. Det är definitivt ledningens sak att säkerställa en välövad organisation och att det finns aktuella kris- och katastrofplaner inom IT, även om vd inte ska behöva lägga sig i det finstilta. En bra kontrollfråga till ansvariga för IT-driften kan vara hur ofta de testar återläsning från backup av affärssystemet.

         Säkerhetskultur. Se det som en del av ledarskapet att främja en god säkerhetskultur. En vd som är engagerad och till exempel själv medverkar i en krisövning visar att frågorna tas på allvar. Uppmuntra också medarbetare och specialister som verkar i samma anda – att jobba med säkerhet är ofta otacksamt eftersom man bara får självklar uppmärksamhet när något gått fel.

Nyligen kom en nordisk rapport från Telenor där de frågat vd:ar och IT-chefer i olika branscher hur de ser på säkerhet. 25 procent av de svarande i Sverige har upplevt minst en cybersäkerhetsincident eller attack under det senaste året. Samtidigt är bara 15 procent bland svenska ledare oroade över konsekvenserna av en attack.

Detta sätter fingret på ett “medvetandeglapp” där många inte agerar trots att riskerna är väldigt påtagliga.

Så ryck inte på axlarna nästa gång det blir tal om IT-säkerhet i ledningsmötet eller i styrelserummet – ta frågan på allvar och ta ansvar.

Åsa Edner, Sverigechef Palo Alto Networks

Prenumerera

Media

Media