Bestyrelsesguiden

Guide: 5 råd til topledelser om cybersikkerhed

performancekultur

Aerial view of businessman using computer laptop

På globalt plan er mange virksomheder langt bagud med at tage højde for den stadigt voksende trussel, som brud på it-sikkerheden udgør, viser et survey fra PwC.

For bestyrelsen og topledelsen er det svært at forholde sig konkret til cybersikkerhed. Der sker jævnligt indbrud i it-systemer, og engang imellem er de alvorlige. Men der har endnu ikke været cyber-angreb, som kostede menneskeliv, som var så dyrt, at det udløste økonomiske kriser, eller som udløste potentielle militære stridigheder mellem lande.

Set i det lys er det måske ikke så underligt, at næsten halvdelen af topcheferne i PwC’s Global State of Informa – tion Security Survey 2018 svarer, at de ikke har en overordnet strategi for cyber-sikkerhed, og at en tilsvarende andel ikke systematisk sørger for, at deres medarbejdere er opmærksomme på risici i denne forbindelse.

Imidlertid er det sandsynligvis kun et spørgsmål om tid, før katastrofen sker: Som verden bliver mere og mere digital, bliver virksomheder og andre organisationer mere og mere sårbare overfor hackere og lignende, mens disse på deres side får en større og større interesse i at begå forbrydelserne. Altså må virksomhederne geare op, og det kommer PwC med en stribe råd til i forbindelse med offentliggørelsen af sit survey.

Vi gengiver her en håndfuld af disse anbefalinger:
Topledelser må tage ansvar: Spørgsmålet om it-sikkerhed hænger organisatorisk i bremsen fra en tid, hvor it nok blev anerkendt som noget nyt og spændende, men samtidig som et redskab på linje med så mange andre. Derfor er det endnu kun et mindretal af bestyrelserne, der påtager sig ansvaret for at lægge en overordnet linje på sikkerhedsspørgsmålet. Flertallet nøjes i bedste fald med at lade sig orientere om, hvad der foregår i organisationen. Her kører det endda ofte udenom topchefen og i stedet gennem f.eks. en operationel direktør. Den går ikke længere, mener PwC. Tilsvarende er omkostningerne til sikkerhed mange steder bevilget ud fra de enkelte afdelingers omsætning. Det er en logisk måde at styre økonomi på, men prioriteringen i dag må i højere grad være at betale, hvad det koster at skabe sikkerhed, og så ud fra det vurdere, om den pågældende afdeling er rentabel.

Sikkerhedsspørgsmålet må ses bredere: En af driverne for større it-risiko er udviklingen af internet of things (IoT), som indebærer hundreder eller tusinder af nye indgange til virksomhedens it-systemer. Imidlertid overlader mange virksomheder det til de lokale afdelinger, der indfører disse teknologier, også at stå for sikkerheden. Sådanne decentrale funktioner kan være hensigtsmæssige, men de bør ikke stå alene. Virksomheden må også tage et overordnet blik på risikoen ved IoT, eller hvilken teknologi, det nu handler om. Ligeledes må virksomhederne i højere grad samarbejde med andre virksomheder om at identificere og afværge risici – noget, som kan være tungt at gå i gang med, fordi en del af sikkerhedsarbejdet jo netop går ud på at holde fortrolighed indenfor virksomhedens rammer.

Se på sikkerhedsarbejdet som værdiskabende: Arbejdet med cyber-sikkerhed er omkostningstungt, men netop som sådan også vanskeligt at håndtere organisatorisk: Omkostninger, som ikke har en indtægt i den anden ende, er noget, man alt andet lige gerne vil spare væk. En pædagogisk måde at præsentere det på for organisationen er således at opgøre de indtægter, sikkerheden medfører. Tag f.eks. en bank: Hvis den intet gjorde for sikkerheden, ville dens netbank givetvis blive lagt ned konstant. Så kan man regne på, hvad en dag med en lukket netbank koster, og dermed opgøre et afkast på investeringen i sikkerheden.

Stress-test sikkerhedssystemerne: Flere instanser arbejder med modeller for, hvordan virksomheder og andre organisationer kan stressteste deres sikkerhedssystemer. Men man kan også gå i gang på egen hånd, ud fra denne tankegang: IT handler om kommunikation med andre, hvorfor der nødvendigvis må være en vis åbenhed, som imidlertid også skaber risikomomenterne, for så vidt man ikke kan stole på dem, man kommunikerer med. Det handler ikke kun om at vurdere, hvor forbrydere kan få adgang til systemet, men også om hvorvidt samarbejdspartnere ikke evner at leve op til deres forpligtelser.

Hold øje med manipulation: Mange sikkerhedssystemer er designet til at forhindre tyveri og hærværk mod virksomheden. Men en anden type risiko bliver mere og mere almindelig, i hvert fald i nogle sammenhænge: Nemlig at it-systemerne bliver manipuleret på en måde, så de umiddelbart bliver ved med at fungere, men mindre godt end før, eller på en måde, så de også gavner konkurrenter.

Sten Thorup Kristensen