Cybersikkerhed er (også) bestyrelsens ansvar

27. maj 2021

Cybersikkerhed er (også) bestyrelsens ansvar

Cyberangreb er blandt de største forretningsrisici, virksomheder står overfor, og koster på både bundlinje, kundeforhold og omdømme. Derfor bør der stilles langt skarpere på cyber- og informationssikkerhed i bestyrelseslokalet, end det i mange virksomheder er tilfældet i dag.

Der sker mange målrettede hackerangreb dagligt blot i Danmark, og hele 58% af danske virksomheder har været udsat for én eller flere sikkerhedshændelser indenfor de seneste 12 måneder – det anslår PwC ud fra et survey lavet i samarbejde med Bestyrelsesforeningens Center for Cyberkompetencer. Alligevel bliver cyber- og informationssikkerhed ofte ikke tænkt ind som et strategisk tema på bestyrelsesniveau. Faktisk svarer størstedelen af bestyrelsesmedlemmerne i undersøgelsen, at de kun delvist (46 pct.) eller slet ikke (15 pct.) fører kontrol med, at virksomheden har testet beredskabs- og kommunikationsplaner for håndtering af hackerangreb.

-  Alle bliver angrebet, uanset om du er Mærsk, Demant eller den mindre lokale virksomhed. Det er ikke et spørgsmål, om det sker, men hvornår det sker. Derfor er det utrolig vigtigt med et strategisk fokus på cyber- og informationssikkerhed, siger Kirsten Hede, projektdirektør i Bestyrelsesforeningens Center for Cyberkompetencer og uddyber:

- Det er blandt bestyrelsens og ledelsens primære opgaver og ansvar at sikre værdiskabelse og konkurrenceevne samt at beskytte selskabets værdier. Der er således en lang række områder lige fra risikostyring, ansættelse af den rigtige ledelse til kapital- og likviditetssammensætning, hvor bestyrelsen har som ansvar at sikre, at der er styr på tingene i virksomheden. I lovgivningen bliver det til stadighed gjort mere og mere tydeligt, at databeskyttelse, GDPR og informationssikkerhed også er ansvar, der ultimativt hviler på bestyrelsen og derfor bør indgå som en væsentlig del af bestyrelsens løbende agenda.

Savner konkrete redskaber

Og lige præcist når det handler om cybersikkerhed, er det ifølge Kirsten Hede vigtigt, at man kommer tættere på. Men det kan være svært for ledelser og bestyrelser at finde ud af, hvordan de skal gribe det an.

- Der er to sider ved det. Den ene ting er, at vi oplever en vis berøringsangst på bestyrelsesniveau pga. den kompleksitet og uforudsigelig, der ligger i cybersikkerhed. Rigtig mange vil gerne, men savner måske værktøjskassen og har svært ved at finde ud af, hvordan de skal rammesætte og tage hånd om emnet og opgaven i deres rolle som bestyrelse. Den anden del er, at i det øjeblik cyberangrebet rammer, kan det være katastrofalt for virksomheden, der kan få fjernet hele forretningsgrundlaget på en formiddag. Derfor er man som bestyrelse nødt til at gå et spadestik dybere i forhold til den virkelighed ens virksomhed er oppe imod og de ting, der kan gøres up-front ift. at beskytte og forebygge mod cyberangreb og være klar til at agere, hvis det værst tænkelige skulle ske. Det linker direkte til det overordnede ansvar, man har, mener Kirsten Hede.

Bestyrelsesmedlemmer og virksomhedsledere bør således, ifølge Bestyrelsesforeningens projektdirektør, have en større forståelse for trusselsbilledet og for hvordan man sætter det ind i virksomhedens kontekst. Og de har brug for kompetencer indenfor cyber- og informationssikkerhed for at blive bedre klædt på til at kunne træffe de rigtige beslutninger samt stille de rigtige spørgsmål og indgå i dialogen om virksomhedens cybersikkerhed. Ikke kun for at håndtere risici, men også for potentielt at gøre sikkerhed til en konkurrencefordel og en facilitator for virksomhedens produktudvikling og forretningsmodel.

- Langt de fleste i bestyrelser og på strategisk niveau har ikke ’IT’ som mellemnavn. De har brug for værktøjer for at kunne sparre med, udfordre og udvikle det operationelle niveau angående virksomhedens cyber- og informationssikkerhed. Helt lavpraktisk kan det ofte være svært at forstå it-chefens ”stammesprog” og dermed kunne træffe de rigtige beslutninger i forhold til  risikoprofil og investeringsvilje, siger Kirsten Hede og understreger, at det handler om at finde et passende niveau i forhold til den enkelte virksomhed og beskytte det vigtigste samt vide, hvilke muligheder der er i værktøjskassen, som kan styrke virksomhedens modstandsdygtighed og konkurrencedygtighed.

Standarder som styringsværktøj

Og her spiller standarder, som fx ISO/IEC 27001, en vigtig rolle som styringsværktøjer, der kan hjælpe virksomheder med at prioritere, strukturere, dokumentere og følge op på arbejdet med informations- og cybersikkerhed.

- Det handler ikke om at bygge Fort Knox, men om at overveje, hvilke risici der knytter sig til organisationens behandlinger af data og hvordan man så mest hensigtsmæssigt sikrer sig. I sidste ende er det en klassisk cost/benefit-analyse af, hvilke tiltag der bedst betaler sig, forklarer Anders Linde, chefkonsulent i Dansk Standard med speciale i informationssikkerhed og privatlivsbeskyttelse, og understreger, at standarder ikke kun er for store virksomheder:

- Standarder kan nemlig hjælpe en med at få indsigt i, hvilket trusselsbillede man står i, hvad der er mindstemålet for, hvad man bør gøre og hvordan man kan bruge standarder til at systematisere og dokumentere sin indsats.

Vil du vide mere om cyber- og informationssikkerhed i et ledelses- og bestyrelsesperspektiv, og hvad der skal til for at kunne indgå som relevant sparringspartner og ultimativt ansvarlig i forhold til de cybersikkerhedsrisici, din virksomhed står overfor? Bestyrelsesforeningens Center for Cyberkompetencer, IT-Branchen, Dansk Erhverv, DI Digital, Dansk Selskab for Virksomhedsledelse og Dansk Standard afholdt d. 7. juni 2021 et webinar om cyber- og informationssikkerhed på strategisk niveau, som du kan se her.



Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39966296

Se også

10. juni 2022

Se eller gense webinaret om de nye strukturer og foranstaltninger i ISO/IEC 27001 og 27002

Webinaret henvender sig til alle, der arbejder med informationssikkerhed, og som ønsker en hurtig introduktion til ISO/IEC 27001 og ISO/IEC 27002, samt de nye ændringer i de reviderede udgaver.

Video: Webinar om EU’s initiativer inden for cybersikkerhed

25. maj 2022

Video: Webinar om EU’s initiativer inden for cybersikkerhed

Dette webinar giver dig et overblik over, hvilke yderligere initiativer der er på vej. Derudover dykker vi ned i nogle af de enkelte initiativer så som det nye NIS-direktiv (NIS2) og Cybersecurity Act. Vi ser også nærmere på, hvad initiativerne ko...

Få overblik over den nye ISO 27002 i denne Podcast

05. maj 2022

Få overblik over den nye ISO 27002 i denne Podcast

Hør denne podcast, hvor Lasse Kaltoft fra Dansk Standard forklarer i ændringerne i den nye ISO 27002-version, som sammen med ISO 27001 er de mest anvendte standarder inden for informationssikkerheder.

Danmark har en styrkeposition inden for AI

08. marts 2022

Dansk styrkeposition inden for AI giver gode forudsætninger for at tage næste skridt

Danmark har nogle af de bedste uddannelsesinstitutioner inden for kunstig intelligens (AI) i Europa, vi går forrest i udviklingen af standarder på området, og mange virksomheder eksperimenterer med det. Derfor er Danmark godt rustet til at anvende...