Cybersikkerhet er avgjørende for bedrifter og organisasjoner – derfor må toppledere ta ansvar for cybersikkerheten
Budskapet om at toppledelsen må eie ansvaret for cybersikkerheten leverte Marianne Tholin, Country Manager i Devoteam, til norske ledere under et foredrag på Oslo Business Forum.
– Cybersikkerhet er et topplederansvar. Kostnadene ved et sikkerhetsbrudd kan bli svært høye, i form av økonomiske tap, tapt omdømme, svekket merkevare og svekket fremtidig konkurransekraft, sier Tholin.
Fire tips til ledere/bedrifter som jobber med cybersikkerhet:
- Løft cybersikkerhet opp på et høyt tverrfaglig ledernivå.
- Kartlegg hvilke trusler din bedrift kan være eksponert for og få identifisert behov for nødvendige utbedringer, en modenhetsanalyse
- Lag en konkret liste over tiltak i prioritert rekkefølge
- Få med dere alle ansatte gjennom å gjøre det forebyggende sikkerhetsarbeidet til en positiv, naturlig og kontinuerlig prosess.
Sikkerhetskultur
Tholin oppfordrer ledere til å gå foran som gode eksempler.
– Som leder må du gå foran og sette standarden. Menneskene og kulturen i organisasjonen er det viktigste. Teknologien, prosessene og systemene er der for å støtte oppunder dette, forklarer hun.
Hun argumenterer for at det må forankres en sikkerhetskultur gjennom hele organisasjonen, for å sørge for at alle ansatte har god nok opplæring og bevissthet om sikkerhet.
Ta ansvaret for cybersikkerheten i hele verdikjeden
Ifølge Tholin er det imidlertid ikke bare organisasjonens egne ansatte som må inkluderes i sikkerhetskulturen.
– Lederne må ta inn over seg hele økosystemet bedriften er eksponert for, gjennom sitt sikkerhetsarbeid. Din bedrifts sikkerhetsnivå er ikke sterkere enn det svakeste leddet i hele virksomhetens verdikjede, sier hun.
Ifølge Pål André Låhne, Director of Trust & Cybersecurity i Devoteam, handler dette blant annet om å bidra til at også underleverandører har gode sikkerhetsrutiner.
– Underleverandører er ofte mindre bedrifter som ikke har ressurser til å drive forebyggende arbeid på cybersikkerhet. Forebygging er det viktigste dere gjør, og derfor er det viktig at ledere tar ansvar for å sette en standard for hele verdikjeden, sier Låhne.
Holdningsendring i toppledelsen
Låhne registrerer at cybersikkerhet er kommet høyere opp på agendaen hos ledere og i mange bedrifter og organisasjoner. Eksempelvis ser vi at i større bedrifter som Telenor og DNB – som er nasjonale infrastrukturer – er sikkerhet representert med eget mandat i både konsernledelsen og styret.
– Bedrifter begynner sakte, men sikkert, å ta innover seg at konsekvensen av et «innbrudd» betyr at hele driften kan gå ned, ikke bare deler av «IT-systemet». Det handler ofte om store verdier. Det har lenge vært snakket om hvor viktig cybersikkerhet er, men nå ser vi en holdningsendring som går fra ord til handling, forteller han.
Å ha en god cybersikkerhetsstrategi blir som innboforsikringen vi har hjemme. Det er en løpende investering man tar for å sikre seg. Det er først når innbruddet er der og du trenger å erstatte eller avgrense skadeomfanget man ser verdien.
Tidligere var cybersikkerhet gjerne plassert lenger ned i organisasjonen, uten særlig stor verdi. Låhne registrerer at ansvaret for cybersikkerhet nå oftere er et ansvar på øverste ledernivå.
– Vi er blitt mer sårbare etter pandemien. Fra hjemmekontor har man naturlig nok tilgang til bedriftens kjernesystemer både via pc og telefon, noe som gjør det mer sårbart. Summen av alt dette stiller større krav til ledere. De må sørge for at ansatte får nødvendig opplæring over tid og skjønner hvilket ansvar dette medfører, sier Låhne.