Cybersikkerhed kræver opbakning fra toppen - og det starter med viden

Du har nok haft det på fornemmelsen, hvis du arbejder med informationssikkerhed. Ledelsens vurdering af trusselsbilledet er forskelligt fra dit. Nu har EY sat tal på i en undersøgelse.

Undersøgelse: Vidensgab mellem CISO og direktion

CISO’erne er markant mere bekymrede end resten af ledelsen - blandt andet om:

• Hvorvidt cybertruslen mod virksomheden er mere avanceret end forsvaret,
• Om den øvrige ledelse har forstået cybertruslens alvor og
• Hvor stor truslen egentlig er.

Undersøgelsen peger på, at ledelserne generelt er blevet mere opmærksomme på cybertruslen. Men den peger også på, at den del af ledelsen, som ikke arbejder direkte med cybersikkerhed, har et lidt rosenrødt billede af udfordringerne.

{{factbox-dark}}

NIS2 gør cybersikkerhed til et ledelsesansvar

I de senere år har direktioner og bestyrelser i mange virksomheder og organisationer ellers taget et større ansvar for cybersikkerheden. Og ansvaret er ikke blot teoretisk. Med NIS2 er ansvaret skrevet ind i lovgivningen.

“Ledelserne vil gerne tage ansvaret, men de er ikke klædt på til at løfte det,” siger Marie Bjerre Simonsen fra Wired Relations.

Hun hjælper til daglig virksomheder, kommuner og andre organisationer med at skabe sammenhæng mellem informationssikkerhed-teamet og ledelsen. 

Ifølge hende skal der to ting til for at involvere ledelsen: Viden og strategisk involvering.

Uddannelse og strategisk involvering

Første skridt er uddannelse. 

Cybertruslen udvikler sig hele tiden, og derfor opstår der hurtigt forskelle mellem informationssikkerheds-teamets hverdag og ledelsens verdensbillede. Den forskel kommer hurtigt til at stå i vejen for et godt samarbejde, fordi ledelsen undervurderer truslen, som EY undersøgelsen antyder.

NIS2-loven er da også helt klart på det område. “Medlemmerne af en væsentlig eller vigtig enheds ledelsesorgan skal deltage i relevante kurser om styring af cybersikkerhedsrisici…,” står der.

“Ledelserne har behov for uddannelse, det kan vi se. Mange af dem, som sidder i de bestyrelser og direktioner, som nu får ansvaret, laver jo noget helt andet til dagligt. De skal vide noget om truslerne, sårbarhederne, og de måder vi håndterer truslerne på,” siger Marie Bjerre Simonsen.

Cyberstrategi - alignet med forretningsstrategien

I mange organisationer behandles informationssikkerheden stedmoderligt. 

• Der er ikke noget selvstændigt budget, 
• cybersikkerhed betragtes som et cost center under IT, 
• og teamet har ikke en løbende dialog med ledelsen.

“Det holder ikke i en moderne cybervirkelighed. Cybersikkerhed handler om at beskytte forretningen, så cyberstrategien skal afstemmes med forretningsstrategien. Det er jo kun ledelsen, som kan sikre balancen mellem risici, ressourcer og krav til informationssikkerheden,” siger Marie Bjerre Simonsen. 

‍Sådan styrker du koblingen mellem infosec og ledelse

Her er hendes bud på at få alignet ledelsen og informationssikkerhedsteamet.

• Opgradér ledelsens viden, så de forstår trusler, sårbarheder og deres ansvar.
• Afstem cyberstrategien med forretningsstrategien, så I fokuserer indsatsen dér, hvor risiciene er størst.‍
• Etabler en tydelig rollefordeling og dialog, så samarbejdet bliver løbende og strategisk.