GlobalConnect: Ansvarsplacering af cybersikkerhed er erhvervslivets akilleshæl

Center for Cybersikkerhed har netop hævet trusselsniveauet for cyberaktivisme fra ‘lav’ til ‘middel’. Det sker på baggrund af pro-russiske cyberangreb udført i forbindelse med krigen i Ukraine. Samtidig er truslen fra cyberkriminalitet vurderet til ‘meget høj’.

Lægger vi det øgede trusselsbillede sammen med det faktum, at den digitale infrastruktur efterhånden udgør selve livsnerven i langt de fleste virksomheder, er et angreb ikke blot mere sandsynligt end tidligere, det kan også have meget alvorlige konsekvenser for økonomi og omdømme. Derfor skal cybersikkerhed tages dybt alvorligt.

Angreb skal ikke nødvendigvis undgås for enhver pris.

Louise Hahn
CEO, GlobalConnect Danmark

Den erkendelse er langt størstedelen af ledere i både det offentlige og det private nået frem til. Problemet er, at erkendelsen i for mange tilfælde ikke har udmøntet sig i de nødvendige tiltag.

For eksempel har 40 procent af små og mellemstore virksomheder ifølge Erhvervsstyrelsens analyse ’Digital sikkerhed i Danske SMV’er 2021’ et utilstrækkeligt sikkerhedsniveau.

Et af problemerne er uden tvivl, at der er usikkerhed om, hvem der har det ultimative ansvar for cybersikkerhed i virksomhederne.

Det understreges af en helt ny undersøgelse blandt 250 danske CEO’s i virksomheder med en bestyrelse, som Voxmeter har foretaget for os i GlobalConnect.

Adspurgt om hvem har det ultimative ansvar for cybersikkerhed i virksomheden, svarer topcheferne således:

• Direktionen: 48,4 procent
• IT-afdelingen: 16,4 procent
• Bestyrelsen: 16,0 procent
• En ekstern sikkerhedsrådgiver: 11,6 procent
• Anden: 6,0 procent
• Ved ikke: 1,6 procent

Ansvaret ligger i bestyrelseslokalet

Tallene viser med tydelighed, at cybersikkerhed for alvor er ved at blive et anliggende for direktionen frem for it-afdelingen.

Sådan skal det også være, for uanset hvor kompetent it-afdelingen er, så er det umuligt at gardere sig mod angreb, hvis ledelsen ikke går forrest i at opbygge en it-sikkerhedskultur, hvor alle medarbejdere er ombord og ikke mindst afsætter de nødvendige ressourcer.

Stakkels den CIO, hvis CEO mener, ansvaret alene ligger i it-afdelingen. Det ultimative ansvar bør under ingen omstændigheder ligge hos en ekstern rådgiver.

Det kommer bag på mig, at så relativt få topchefer – blot hver sjette – mener, at deres bestyrelse har det ultimative ansvar for virksomhedens cybersikkerhed.

Bestyrelser har ansvaret for virksomheders risikostyring, og cybersikkerhed er i høj grad et spørgsmål om risiko.

Cybersikkerhed handler om risikostyring 

Bestyrelser har ansvaret for virksomheders risikostyring, og cybersikkerhed er i høj grad et spørgsmål om risiko.

Louise Hahn
CEO, GlobalConnect Danmark

Selvom de fleste erhvervsfolk i dag kender til fænomener som malware, ransomware og phishing, bliver it-sikkerhed hurtigt teknisk og komplekst. Det betyder, at mange bestyrelser holder det ude i strakt arm.

Dybdeforståelsen hører da også til i it-organisationen, men bestyrelsen har det ultimative ansvar, og det kan og må de ikke løbe fra.

Selvom det kan virke langhåret, er det faktisk relativt simpelt at sætte rammerne for en virksomheds cybersikkerhed. Det skal nemlig anskues på linje med finansielle risici eller arbejdsmiljø.

Finansielt sætter bestyrelsen for eksempel helt konkrete rammer for stop loss og maksimal eksponering. I relation til arbejdsmiljø kan de sætte en nul-tolerance over for dødsulykker eller et mål for LTI (lost time injuries).

Det helt samme gælder for cybersikkerhed. Her bør bestyrelsen baseret på en risikoanalyse sætte tilsvarende mål for eksempelvis tab af data, datalæk og acceptabel nedetid for de forskellige områder af virksomheden.

Angreb skal ikke nødvendigvis undgås for enhver pris. Se det som et hus, hvor det måske kan accepteres, at tyven lister rundt i forhaven eller kommer ind i entreen. Men han skal ikke ind i soveværelset.

Cybersikkerhed er i første omgang et spørgsmål om risikovillighed og prioritering – og det er bestyrelsens ansvar.

Topchefer føler sig klar til cyberangreb

I undersøgelsen har tre ud af fire CEO’s (74,4 procent) svaret, at deres virksomhed er tilstrækkelig forberedt på et muligt cyberangreb. Det er yderst positivt.

Samtidig er de dog blevet adspurgt om, hvorvidt deres bestyrelse har opstillet nogen form for rammer for, hvor stor en risiko virksomheden vil acceptere ved et muligt cyberangreb. Det svarer færre end hver fjerde ja til (23,6 procent).

Er de så i virkeligheden klar? Nej, det mener jeg ikke. Det er i hvert fald en blinkende rød advarselslampe, at bestyrelserne ikke har opstillet de afgørende rammer i forhold til risiko.

Så længe bestyrelsen ikke har givet ledelsen et klart mandat, som sikrer, at bestyrelse og direktion har en fælles forståelse af et acceptabelt risikoniveau, er det svært for virksomheden at være tilstrækkelig klædt på.