Annonce
Generic selectors
Exact matches only
Search in title
Search in content
Filtrer på kategorier
Årsbudget/likviditet
Årsforventning
Årshjul
Bestyr.evaluering
Bestyrelsens Arbejdsprocesser
Bestyrelsens Digital strategi
Bestyrelsens håndtering af risici
Bestyrelsens Information
Bestyrelsens Kompetencer
Bestyrelsens Kriseforebyggelse
Bestyrelsens Rapportering
Bestyrelsens Strategiarbejde
Bestyrelsesansvar
Bestyrelsesevaluering
Bestyrelsesevaluering
Bestyrelsesformandens Guide
Bestyrelsesformandens Guide|Forbered din Bestyrelseskarriere
Bestyrelsesformandens Guide|Kvinder i Bestyrelsen
Bestyrelseskompetencer
Bestyrelsesuddannelser
Branchetendens
CEO-profil & CEO-skift
Det lærte jeg om ledelse som iværksætter
Ejerlederens bestyrelse
Ekstern Kommunikation
Evaluering Af Ceo
Evaluering Revision
Featured
Featured|Toplederinterview
Forbered din Bestyrelseskarriere
Forbered din Bestyrelseskarriere|Praktisk Bestyrelsesarbejde
Formandens Opgaver
Generalforsamling
Generalforsamlingen
Halvårsstatus
Hr Politikker
Intern-Ekstern Kommunikation
IT & Digitalisering
IT & Digitalisering
Karriere
Kvinder i Bestyrelsen
Ledelse under COVID-krisen
Ledelse under Ukraine-krisen
Ledelsesvederlag
Mangfoldighed
Medarbejdervalgte Bestyrelsesmedlemmer
Mine 5 vigtigste ledelseserfaringer
Praktisk Bestyrelsesarbejde
Praktisk Bestyrelsesarbejde>Bestyrelsesansvar
Praktisk Bestyrelsesarbejde>Bestyrelsesevaluering
Praktisk Bestyrelsesarbejde>CEO-profil & CEO-skift|Featured|Toplederinterview
Regnskabsaflæggelse
Revisorer
Risikostyring
Samfundsansvar
Strategi
Temaserier
Toplederinterview
Toplederkommunikation
Toplederlønninger
Transformation og omstilling
Uncategorized
Virksomhedskultur & Mangfoldighed
Vurdering Af Risici
White Paper for bestyrelser
Log ud Log ind

Guide: Cybertrusler er mere end IT

Virksomheders udfordringer med potentielle cyberangreb er blevet så alvorlige, at truslerne ikke længere kan betragtes som en IT-sag, men som et vigtigt emne på bestyrelsens dagsorden. Problemet handler om langt mere end hackerangreb. Cybertrusler er blevet så komplekse, at der bør lægges en strategi for at håndtere dem. En virksomheds anseelse og profil kan blive ødelagt ved et enkelt cyberangreb.

Mens risikoen for cyberkriminalitet mod virksomheder de seneste år er blevet stadig mere nærværende, er der fortsat et stykke vej til at virksomhederne for alvor har opbygget de nødvendige værn. Virksomheder er blevet gode til at identificere mulige cybertrusler. Men de er stadig ikke så gode til at håndtere dem i praksis, viser en undersøgelse fra National Association of Corporate Directors, NACD.

Undersøgelsen viser, at 89 procent af bestyrelserne i amerikanske børsnoterede selskaber jævnligt diskuterer cyberkriminalitet på bestyrelsesmøderne. Men kun 42 procent af dem har tillid til, at deres virksomhed har sikret sig tilstrækkeligt mod cyberangreb. Kun fem procent har meget stor tillid til, at de har styr på tingene.

Baggrunden er ikke mindst, at udviklingen på dette felt sker så forrygende hurtigt, at det er svært at følge med og gardere sig. Problemet forstærkes af, at 48 procent af alle angreb foretages af kriminelle eller af personer, der bevidst vil skade virksomheden. Der går i snit 146 dage, før et angreb opdages, og det er kun i halvdelen af tilfældene, at virksomheden selv opdager angrebene. Virksomhederne er altså ikke helt fremme i skoene.

Som præsident tog Barack Obama i 2013 skridt til et udvikle et program for cybersikkerhed med standarder og procedurer for håndteringen af truslerne. NACD har på den baggrund udviklet en håndbog, som bygger på fem hovedprincipper for håndteringen:

Et bestyrelsesanliggende: Virksomhedens ledelse skal forstå, at cybersikkerhed ikke kun handler om IT, men at det er et ledelsesemne for hele virksomheden. Hvis sagen lægges hen til IT-afdelingen, bliver cyberspørgsmålet ganske enkelt ikke håndteret tilstrækkeligt kritisk og analytisk. Det bliver svært at kommunikere problematikken ud i hele virksomheden og offentligheden.

Cyberproblemet er særdeles teknisk og indviklet, og derfor skal det ikke håndteres teknisk, men derimod strategisk og ud fra et økonomisk perspektiv. Problemet skal håndteres på tværs af alle afdelinger i virksomheden. Ledelsen skal gøre sig klart, at cybersikkerhed vedrører den interconnectivitet, som omfatter alle virksomheder og relationer i dag. Virksomhederne kan ikke henholde sig til, at netværkene ligger i ”skyen.”

Mulige erstatningssager skal forberedes: 
Direktionen og bestyrelsen må forstå de juridiske elementer i cybersikkerhed. Hvis virksomheden sjusker med sikkerheden, kan det føre til erstatningskrav fra kunder eller aktionærer. Derfor skal bestyrelserne udarbejde juridiske procedurer for at kunne reagere på f.eks. hackerangreb. Et angreb kan hurtigt blive en sag i offentligheden. Men bestyrelsen bør også lave referater om sine drøftelser og beslutninger for netop at kunne forsvare sig, hvis der kommer erstatningskrav.

Bestyrelsen skal have adgang til fagkompetencer: Bestyrelsen må have adgang til den fornødne ekspertise, og håndteringen af cybersikkerhed skal gøres til et regulært tema på bestyrelsesmøderne. 89 procent af adspurgte amerikanske bestyrelser siger, at de jævnligt diskuterer cybersikkerhed, men kun 14 procent siger, at de har en ”høj viden” om cybersikkerhed. Kun 15 procent er tilfredse med kvaliteten af de informationer, de får fra direktionen om cybersikkerhed. Derfor skal bestyrelsesmedlemmer sørge for at få samme indsigt, som de har i vurderingen af regnskaber og finansielle forhold. Bestyrelserne skal også være klar over, at der ikke findes løsninger, der passer til alle virksomheder.

Dagligt ansvar for cybersikkerhed skal placeres: Virksomhederne må lave et program for cyberhåndteringen med en medarbejderstab og et budget, der kan klare opgaverne. Lederen af et cyberteam skal have kompetence til at operere på tværs i virksomheden.

Risikovurdering og prioritering af indsats: 
Bestyrelsen skal tage stilling til, hvilke risici, man ønsker at undgå, hvilke risici, man skal leve med, og hvilke man skal mindske eller ”kurere” gennem forsikringer. Total cybersikkerhed er urealistisk. Man må altså leve med nogle angreb, tab og tyverier. Det kan være svært at lave en sådan skelnen, f.eks. når man skal reducere, men ikke fjerne en risiko. Hvornår er det ”godt nok”?

Håndteringen af denne politik er vanskelig, fordi der ikke er en facitliste. Til gengæld skal man fokusere benhårdt på de vitale dele, dét der virkelig kan ødelægge kernen i virksomheden.

Du skal være abonnent for at læse denne artikel

499 kr. årligt
  • Søgbar videns-base med over 700 guides og artikler
  • Fokus på bestyrelsens aktuelle dagsordenener
  • Alt om bestyrelsesansvar, strategiarbejdet, kompetencer osv.
  • Opdateres løbende med aktuelle artikler og guides
  • Sikrer, at du er opdateret med al nyt om bestyrelsesarbejde
  • En guldgrube, hvis du forbereder en bestyrelseskarriere
  • Årsabonnement giver ubegrænset adgang
Er du allerede abonnent?

Seneste artikler

Seneste Temaer

Tilmeld dig vores nyhedsbrev

– og modtag Ole Borchs bog
“Succes i en dansk bestyrelse”

Når du trykker "modtag bogen" bliver du tilmeldt Bestyrelsesguidens ugentlige nyhedsbrev samt markedsføring via mail.

Gratis
e-bog

Log ind