Det kan koste dyrt, hvis topledelsen overser faren ved cyberkriminalitet

De fleste virksomheder har over de seneste år øget deres fokus på it-sikkerhed, hvilket der er en rigtig god grund til. Der går nemlig sjældent en dag, hvor der ikke kommer rapporter om nye sikkerhedshuller, svindel-mails og ikke mindst alvorlige hackerangreb mod virksomheder.

Kort sagt ændrer trusselsbilledet sig dag for dag, og da et cyberangreb hurtigt kan koste virksomhederne på bundlinjen, skal it-sikkerhed også være et vigtigt punkt på topledelsens agenda.

Vi oplever heldigvis, at mange topledere er klar over disse trusler. Desværre ser vi omvendt også, at mange virksomheder arbejder ud fra en reaktiv tankegang fremfor en proaktiv. Hvis virksomheder skal holde trit med cybertruslerne, er det dog vigtigt, at der afsættes forebyggende ressourcer til cybersikkerhed – både i form af ny teknologi og i lige så høj grad kvalificeret arbejdskraft.

Men bliver der investeret i kvalificeret arbejdskraft, er det lige så nødvendigt, at topledelsen faktisk lytter til de hårdtarbejdende it-sikkerhedsmedarbejderne - for det er dem, der, ’har hænderne i den bolledej’, der udgør virksomhedens cybersikkerhed.

Sikkerhedsudfordringer skal håndteres fra toppen

Når jeg i mit daglige virke taler med chefer, der har ansvaret for sikkerheden i forskellige danske virksomheder, viser det sig nemlig, at selvom topledelsen kender til ord som ransomware, phishing og CEO-fraud, er de langt fra enige med de professionelle i, hvor højt it-sikkerhed skal prioriteres.

De forskellige måder at anskue risikoen ved cyberangreb kommer ofte, fordi ledelsen i mange tilfælde ser cybersikkerhed som et teknisk anliggende og en udfordring, der skal løses af it-afdelingen. Og selvom der kan være noget om, at en stor del af it-afdelingens dag går med at løse tekniske udfordringer, er faktum bare, at et cyberangreb ikke kun rammer it-afdelingen men lige så hårdt virksomhedens bankkonto og omdømme.

Derfor er det vigtigt, at udfordringerne håndteres fra toppen og forbliver en fast del øverst på topledelsens agenda. Heldigvis er det muligt for den it-sikkerhedsansvarlige at fange ledelsens opmærksomhed, hvis de kommunikerer proaktivt, positivt og forståeligt på et strategisk plan. For at sige det kort: Man skal kommunikere, hvordan it-sikkerhedsløsninger sørger for, at virksomheden ikke taber omsætning, både i arbejdskraft og tabt fortjeneste.

Jeg vil ikke negligere den viden, som mange topchefer heldigvis også har om cybersikkerhed. Men bliver de it-sikkerhedsansvarlige for tekniske i deres afrapportering og kommunikation til topledelsen, har de en tendens til at stå af og først bekymre sig om problemet, når uheldet er ude. I stedet vil jeg anbefale chefer, der har ansvar for sikkerheden, at påpege, hvordan udfordringer med cybersikkerhed kan påvirke kerneforretningen. Hvordan god cybersikkerhed skaber værdi for virksomheden.

Både i form af den værdi, deres nuværende arbejde og sikkerhedsløsninger giver, og især hvordan forebyggelse og opdateringer af it-sikkerhedsløsninger og arbejdsgange kan forbedre virksomhedens nuværende risikoprofil. Alt sammen med det formål at få de nødvendige midler og ressourcer til at holde virksomheden sikker.

Hvis du som it-sikkerhedsansvarlig oplever, at topledelsen i din virksomhed ikke i høj nok grad forstår, hvorfor de skal sætte it-sikkerhed øverst på deres agenda og prioritere det i budgettet for næste kvartal, er her tre gode råd:

• Har ledelsen ikke en teknisk indsigt i it-sikkerhed, er det vigtigt at trække det op på et strategisk niveau og f.eks. nævne, hvad virksomheden kan tabe, hvis den ikke vælger at afsætte nok ressourcer til både kvalificeret arbejdskraft og teknologi.
• Vær sikker på, at din virksomheds nuværende og fremtidige sikkerhedsløsninger afspejler virksomhedens behov. Hvis du mener, at der skal tilføres nye eller flere ressourcer til it-sikkerhed, skal du oversætte alle detaljerne, så ledelsen forstår virksomhedens risiko ved ikke at gøre noget.
• Kom tættere på topledelsen ved at uddanne dem i, hvordan cybertruslerne konstant ændrer sig. Mennesker, der forstår problemets omfang, har lettere ved at sætte deres lid – og penge – til eksperter, der kan løse problemet for dem. Og her kommer du ind med ekspertise til at løse deres problem.

Ovenstående kan måske være lettere sagt end gjort, og det kan for nogle virksomheder være et langt, sejt træk at sikre investeringer i it-sikkerhed. Men der er ingen tvivl om, at når topledelsen forstår og er velinformeret om den risiko, cybertrusler byder deres virksomhed, er de mere tilbøjelige til at træffe de rette valg om it-sikkerhed, når de sidder rundt om bestyrelsesbordet.

Niels Zimmer Poulsen