Den største cybertrussel går i jakkesæt
.jpg)
Af: Jacob Høedt Larsen og Marie Bjerre Simonsen, Wired Relations
.jpeg)
Jacob Høedt Larsen, PR & PA hos Wired Relations, er værten for podcasten Sustainable Compliance og en ekspert i GRC-workflows, understøttet af software, opbygning af et GRC-program, ledelse af et GRC-team og sikring af ledelsens opbakning.
Læs mere fra forfatterenTo ud af tre IT-sikkerhedschefer mener, at topledelsen undervurderer cybertruslen. Og de har ret. Det er et problem, for NIS2-loven har netop placeret ansvaret for cybersikkerheden hos topledelsen.
Vi har ellers vænnet os til at pege fingre af medarbejderne i HR og receptionen: “De kan ikke finde ud af at lave ordentlige passwords og trykker på hvad som helst.”
Men den største cybertrussel har jakkesæt på og sidder på direktionsgangen.
CISO’erne mener, at topledelsens har et alt for rosenrødt blik på cybertruslen. 68 % af dem sigerk, at deres chefkollegaer undervurderer cybertruslen, ifølge en undersøgelse fra EY. Det er vores erfaring, at CISO’erne har en pointe.
{{factbox-light}}
I de senere år har vi talt med utallige informationssikkerhedsansvarlige i Danmark. De fleste siger det samme:
- Det er svært at få ledelsesopbakning,
- Ledelsen sætter ikke retning og
- Det er vanskeligt at afstemme mål og ressourcer
Problemet er manglende viden om informationssikkerheden i topledelsen, og at den derfor ikke er indarbejdet i organisationens overordnede strategi.
Det medfører, at cybersikkerheden stadig er nedprioriteret, og det er en trussel mod virksomheder og samfund.
Cybersikkerhed er et topledelsesansvar
I de senere år er direktioner og bestyrelser i mange virksomheder og organisationer begyndt at tage et større ansvar for cybersikkerheden. Det skyldes primært trusselsbilledet, som selv den mest IT-forskrækkede direktør kan se, er skræmmende.
Og ansvaret er ikke blot teoretisk. Med NIS2 er det skrevet ind i lovgivningen. Cybersikkerheden er ikke længere kun et ansvar for specialister. Det er et ledelsesansvar. Mange ledelser vil gerne tage ansvaret, men de er ikke klædt på til at løfte det. Der skal to ting til for at involvere ledelsen: Viden og strategisk involvering.
{{factbox-dark}}
Uddan ledelsen - ellers taber vi
Første skridt er uddannelse. Cybertruslen udvikler sig hele tiden, og derfor opstår der hurtigt forskelle mellem informationssikkerheds-teamets hverdag og ledelsens verdensbillede. Den forskel kommer til at stå i vejen for et godt samarbejde, fordi ledelsen undervurderer truslen.
Ledelserne har behov for uddannelse, det kan vi se. Mange af dem, som sidder i de bestyrelser og direktioner, som nu får ansvaret, laver jo noget helt andet til dagligt. De skal vide noget om truslerne, sårbarhederne, og de måder vi håndterer dem på.
Cybersikkerhed kræver strategisk retning
I mange organisationer behandles informationssikkerheden stedmoderligt.
- Der er ikke noget selvstændigt budget,
- cybersikkerhed betragtes som et cost center under IT,
- og teamet har ikke en løbende dialog med ledelsen.
Det holder ikke i en moderne cybervirkelighed. Cybersikkerhed handler om at beskytte forretningen, så cyberstrategien skal afstemmes med forretningsstrategien. Det er kun ledelsen, som kan sikre balancen mellem risici, ressourcer og krav til informationssikkerheden.
Effektiv informationssikkerhed starter nemlig med governance, at man sætter klare mål for informationssikkerheden, aligner dem med de overordnede målsætninger - og måler på dem. Det er ledelsens opgave.
Herfra kan specialisterne arbejde med den konkrete sikkerhed ud fra en effektiv risikostyring, hvor de håndterer trusler og risici, som rent faktisk relaterer sig til virksomhedens mål.
Moderne informationssikkerhed kan ikke blive besluttet af en tilfældig IT-medarbejders vurdering af risici. Det er ikke tilfredsstillende for nogen.
Det er kun ledelsen, der kan lede det arbejde.
Sådan tager du ledelsesansvaret
Her er vores bud på, hvordan I kan tage ledelsesansvaret på jer:
- Skab viden. Hvis ledelsen forstår truslerne, kan de tage ansvar. Det kræver uddannelse
- Skab strategi. Vi skal vide, hvad vi vil passe på - og hvorfor. Det kræver, at vi starter med målene.
- Skab dialog. Ledelse og infosec skal tale sammen. Det kræver, at ledelsen stiller krav om, hvilken rapportering den vil have.
Spørg dig selv som leder: Ved jeg nok til at tage ansvar for cybersikkerheden – eller sætter jeg hele virksomheden på spil?
Jacob Høedt Larsen og Marie Bjerre Simonsen uddanner ledelser til at tage ansvar for cybersikkerheden.
Hvem er topledelsen?
I private virksomheder er det bestyrelsen. Hvis der ikke er sådan én, er det direktionen.
I offentlige virksomheder er det “det øverste administrative ledelsesorgan." I praksis betyder det direktionen de fleste steder.
Topledelsen har ansvaret
Ledelsen har fem opgaver:
- Godkende foranstaltninger til styring af cybersikkerhedsrisici
- Føre tilsyn med implementeringen af foranstaltninger i enheden
- Gennemføre kurser med henblik på at have tilstrækkelig viden og kompetencer til styre enhedens cybersikkerhedsrisici
- Tilskynde til, at enheden tilbyder kurser til sine ansatte
- Tage ansvar for enhedens overholdelse af NIS 2-loven
Det står i vejledning om ledelsens roller og ansvar fra Styrelsen for Samfundssikkherhed.
Webinar: Du kan høre mere om ledelsens ansvar i dette webinar, hvor Jacob og Marie gennemgår vejledningen.
Tag ledelsesansvaret for cybersikkerheden – før truslen rammer
Topledelsen har nu det lovpligtige ansvar for cybersikkerheden. Men mange ledelser mangler viden og værktøjer til at løfte opgaven. På vores kurser bliver I klædt på til at tage styringen.
