Gør din virksomheds sikkerhedskultur til en konkurrencefordel
Verden er under forandring og vores forestillinger om global stabilitet og sikkerhed bliver sat under pres i disse år. Det stiller nye krav til virksomhedernes styring af sikkerhed.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Globale pandemier, ufred og voldsomme klimahændelser er bare eksempler på begivenheder, der medfører risici og trusler, som vi alle skal forholde os til.
Så sent som i maj i år blev Danmark ramt af et særdeles omfattende cyberangreb, hvor 22 selskaber i den danske energi og varmesektor blev mål for et koordineret anslag.
Behovet for at tænke i sikkerhed og modstandsdygtighed er åbenlyst blevet mere aktuelt og det bør udgøre en langt større del af vores hverdag, end tilfældet er i dag. Kompleksiteten i risikobilledet kan føles overvældende, men må ikke føre til handlingslammelse, men i stedet kalde på en ny form for ledelsesmæssig årvågenhed og ageren.
Traditionelt set har ansvaret for sikkerhed været en opgave, stat og myndigheder har håndteret. Men i takt med, at risikobilledet er blevet mere nuanceret, og private og offentlige aktører er blevet tættere forbundet, er private aktører og virksomheder nødt til at påtage sig et stadig større ansvar.
Dette er nødvendigt for at sikre deres egen fortsatte eksistens og konkurrenceevne, samt ikke mindst samfundets stabilitet og sikkerhed. At vente på at der kommer regulering for, hvordan virksomhederne skal agere for at være sikre, er ikke længere en holdbar strategi.
Digitalisering skaber nye sårbarheder
Det rejser nye spørgsmål. Digitaliseringen har indlysende forvandlet vores liv, men har vi i jagten på teknologiske fremskridt overset skjulte risici, der gemmer sig i den stigende afhængighed af samfundskritiske systemer?
En hastig teknologisk udvikling kræver tilsvarende en betydelig optrapning på sikkerhedsfronten. Danmark nyder som et af verdens mest digitaliserede lande godt af teknologiens muligheder, men denne afhængighed har også gjort os ekstra sårbare over for cybertrusler.
Et angreb på vores digitale infrastruktur kan have vidtstrakte konsekvenser, som potentielt kan ødelægge kritiske fysiske systemer som strømforsyning, transport eller kommunikation i kortere eller længere perioder.
Meningen med reguleringer som EU’s NIS2-direktiv, DORA og Cyber Resilience Act er at hæve det europæiske niveau for cybersikkerhed på tværs af grænserne, og de nye tiltag fra EU er bestemt et skridt i den rigtige retning.
Men vi kommer sjældent i mål alene med regulering. Dels kommer den som oftest på bagkant, dels omfatter den ikke nødvendigvis alle virksomheder. I sidste ende hviler ansvaret for at implementere det rette niveau af sikkerhed på virksomhederne selv.
Det handler om at tænke mere i selvbeskyttelse, og i en langt mere dynamisk risikostyring, der er fuldt integreret i den daglige ledelse af virksomheden, så det sikres at der kontinuerligt er den rette balance mellem risici, beredskab og virksomhedens drift.
Når det kommer til virksomhedens modstandsdygtighed og i sidste ende overlevelse, så er det et område, der desværre ikke fylder nok i den daglige ledelse af virksomheder, mens en aktiv risikostyring er en helt naturlig del af fx den økonomiske styring. Vi skal have samme kadence på det sikkerhedsmæssige område.
Se risici i øjnene - forretningen skal gå videre
Sikkerheden skal styrkes i samme tempo, som risikobilledet tilsiger det. Det kræver ikke blot, at de tekniske foranstaltninger er på plads, men også en strategisk og proaktiv ledelse, hvor risici håndteres og imødegås.
Det er et ansvar, der udgår fra direktion- og bestyrelsesniveau, hvor indsigt i virksomhedens processer, den teknologi der bruges og virksomhedens leverandørlandskab er afgørende for at kunne handle hurtigt og effektivt i tilfælde af angreb.
Ansvaret for sikkerheden kan ikke alene løftes af it-afdelingen. Det skal bredere ud i organisationen samtidig med, at ledelsen skal have et langt dybere kendskab til kerneprocesserne i virksomheden.
Det er ikke muligt at lave reelt intelligente beredskaber uden at kende – og ikke mindst erkende – de forretningskritiske arbejdsgange og ikke mindst at have overvejet hvad det værste, der kan ske er. Ikke for at være sortseer, men for at være realist.
Sikkerhedsforanstaltninger skal ikke implementeres blot på grund af regulering men fordi det er afgørende for forretningens fortsatte eksistens og konkurrenceevne. En sund, proaktiv sikkerhedskultur er ikke blot en hygiejnefaktor, men også et afgørende konkurrenceparameter.
Spørg blot dine leverandører, kunder og medarbejdere.
