IT-sikkerhed er også bestyrelsens ansvar
Hidtil har it-sikkerhed primært været en arbejdsopgave for it-afdelingerne. Men ny teknologi og et stigende trusselsniveau tvinger bestyrelserne til at påtage sig ansvaret.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
De seneste år har en global, teknologisk revolution ført til omfattende ændringer i de fleste brancher. Både teknologisk og arbejdsmiljømæssigt har revolutionen sat sine sønner og døtre fri – men med den øgede frihed kommer også et stigende trusselsniveau.
For når ansatte ikke længere er i sikkerhed bag virksomhedens tårnhøje mure og er beskyttet af de interne forsvarsværker og sikkerhedssystemer, er det lettere for fjenden at infiltrere og tilegne sig adgang hos de medarbejdere, der har krydset den digitale voldgrav og begivet sig ud på den anden side af murene.
Hvor ansvaret for virksomhedernes cybersikkerhedsstyring før har været placeret hos virksomhedens it-afdeling, begynder flere bestyrelser at vise interesse for og forstå vigtigheden af en mere holistisk tilgang til virksomhedens it-sikkerhed.
Tidligere har de største trusler set fra bestyrelsens bord været emner som konkurrenternes handlinger og markedets udvikling, men i dag udgør cybertruslerne og mangelfuld it-sikkerhed en større risiko for at pådrage virksomheden endnu større skade på kort tid.
Moderne krigsførelse mod en skjult fjende
Flere virksomheder har på den værst tænkelige måde oplevet, hvordan mangel på interesse og forståelse for cybertrusler på bestyrelsesniveau har resulteret i en lavt prioriteret forsvarsindsats og dermed let adgang for udefrakommende og uønskede gæster på serverne.
Selvom it-afdelingen alene har forskanset sig i skyttegraven og gjort sit bedste for at gardere virksomhedens data og fortrolige aktiver, er modstanden desværre forgæves, hvis ikke hele organisationen samarbejder. For hvad nytter det at låse fordøren, hvis en kollega lader bagdøren stå på klem?
Derfor har det afgørende betydning for en virksomheds bestyrelse at have indgående kendskab til organisationens position på cybersikkerhed. Denne bevidsthed skal være med til at forme politiske og strategiske mål for at hjælpe virksomheden med at udvikle foranstaltninger til beskyttelse mod de udefrakommende trusler.
De tre største trusler
Både pandemi og geopolitiske konflikter har defineret, hvordan vi udfører vores arbejdsopgaver i 2024, og dette er desværre noget nær perfekte omstændigheder for at skabe et miljø, der er modent til højteknologisk cyberkriminalitet.
Derfor bør bestyrelser prioritere at lægge en strategi og handleplan for, hvordan virksomheden skal forholde sig til de tre største trusler lige nu:
Fjern- og hybridarbejde:
Det var ikke kun de ansatte, der jublede, da de kom et skridt nærmere work-life-balance og fik øget mulighed for at arbejde hjemmefra eller på farten. De cyberkriminelle klappede også i deres hænder, da dette gav dem mulighed for at anvende romernes flere tusinde år gamle militærstrategi, ”del og hersk”. For når medarbejderne ikke er beskyttet af virksomhedens digitale voldgrav, er de mere udsatte for udefrakommende trusler.
Cloudadoption:
Virksomhedernes øgede anvendelse af cloud-baserede tjenester var altafgørende for at gøre fjern- og hybridarbejde muligt. Desværre er løsningen på problemerne også en del af forbandelsen. For med cloud-løsningerne kommer også en forringelse af netværksgrænser og adgangsforhold, og hvis sikkerhedsniveauet ikke er toptunet mod de professionelle cyberkriminelle, er virksomheden sårbar for angreb, og når først ræven har fået adgang til hønsegården, er skaden sket.
Ny og højtudviklet trusselteknologi:
Som med al krigsførelse benytter begge sider af konflikten sig af de nyeste teknologiske landvindinger til enten forsvar eller angreb. I takt med at virksomhederne optimerer deres forsvarsværker med ny, avanceret teknologi, gør de cyberkriminelle det samme i udviklingen af effektive masseødelæggelsesvåben, der kan påføre uoprettelig skade på virksomhederne.
Fælles indsats øger sikkerheden
Det kræver engagement og ansvarlighed på alle organisatoriske niveauer at opretholde og værne om en effektiv cybersikkerhed. Når bestyrelsen har fået dybere forståelse for og indsigt i sikkerhedsindsatsen og trusselslandskabet, bliver det lettere at skabe sammenhæng mellem sikkerheden og virksomhedens bredere strategiske mål.
It-afdelingen har længe kæmpet alene mod den invasive og ansigtsløse fjende, men heldigvis har mange virksomheder indset, at det er nødvendigt at have en CISO (Chief Information Security Officer) i bestyrelsen. Med en udbredt forståelse for virksomhedens sikkerhedsindsats er det lettere for alle ansatte at navigere i trusselslandskabet – på begge sider af den digitale voldgrav – og påtage sig det fælles ansvar, det er at holde fjenden fra døren.
