Ansvar skubbes nedad
Tendensen blandt SMV’er er, at den øverste ledelse ikke i særlig høj grad er involveret i it-sikkerheden. Kun i 38 pct. af virksomhederne tager topledelse og/eller bestyrelse stilling til virksomhedens it-sikkerhed.
Det understøttes af en undersøgelse, Voxmeter foretog for GlobalConnect tidligere i år, hvor hele 28 pct. af adspurgte CEO’s mener, det ultimative ansvar ligger i it-afdelingen eller hos eksterne rådgivere.
De fleste er i dag bekendt med fænomener som malware, ransomware og phishing. Men it-sikkerhed bliver hurtigt set som teknisk og komplekst, og jeg forstår godt, at mange topledere fortsat opgiver og skubber ansvaret nedad eller udad.
Det er en farlig strategi. Dybdeforståelsen hører ganske rigtigt til i it-organisationen, hvis virksomheden har en sådan, eller hos en ekstern partner. Men ledelse og bestyrelse har det ultimative ansvar for cybersikkerheden, da det dybest set handler om virksomhedens værdiskabelse og digitalisering.
Tre konkrete opgaver til ledelsen
Cybersikkerhed behøver ikke være en kilde til spoleret nattesøvn, og truslerne behøver ikke blive til virkelighed, hvis man har den rette tilgang. En tilgang, hvor cybersikkerhed ikke alene handler om it, men om klassisk ledelse. Det handler om helt klassisk risikostyring for forretningen – på samme måde som man behandler f.eks. finansiel risiko eller risiko for arbejdsulykker.
Helt konkret er det min vurdering, at ledelsen skal tage fat om tre centrale opgaver:
Det starter med en skattejagt, hvor virksomhedens kronjuveler skal identificeres. Er nogen data eller systemer særligt kritiske? Har virksomheden informationer og IP, som andre stater ønsker at få adgang til?
Derefter skal de vurdere risiko og konsekvens. Hvor stor er cybertruslen mod netop jeres virksomhed? Hvor attraktive er I (eller jeres kunder) for hackere?
Hvis I så bliver ramt, hvilken konsekvens kan det da have målt på kostbar nedetid, læk eller tab af fortrolig eller kritisk data og et svækket omdømme, der tager år at genoprette? Kan I inddele virksomheden i digitale zoner, som er mere eller mindre kritiske? Har I gamle egenudviklede systemer, som er ekstra sårbare?
Helt lavpraktisk ville 3 ud af 10 SMV’er ikke kunne udføre deres kerneopgave, hvis de mistede adgangen til deres centrale it-systemer, viser de nye tal fra Erhvervsstyrelsen.
Dernæst skal ledelsen definere risikovillighed. Hvad er jeres acceptable nedetid på kritiske systemer? En time? En dag? Kan I tåle at miste visse data, mens I er klar til at beskytte kronjuvelerne for enhver pris?
Angreb skal ikke nødvendigvis undgås for enhver pris, for et for højt sikkerhedsniveau kan også blive en unødvendig stor udgift og gøre hverdagen bøvlet for medarbejderne.
Samarbejde mellem IT-afdelingen og ledelsen
Man skal kort sagt finde kronjuvelerne, vurdere risiko og konsekvens og fastsætte sin risikovillighed.
På den baggrund skal man som ledelse så stille de rette spørgsmål til de it-kyndige for at sikre, at de kan fokusere virksomhedens indsats på det væsentlige, og at virksomheden har et tilstrækkeligt sikkerhedsniveau for at forhindre angreb, for at håndtere angreb og for at kunne genskabe det tabte efter et angreb.
SMV’er udgør 70 pct. af det danske erhvervsliv målt på omsætning og spiller dermed en afgørende rolle for hele vores samfund. Der er gang i så mange realiserede drømme, væksteventyr, små og store daglige udfordringer og i det hele taget en evig og benhård prioritering af tid og ressourcer.
Vi skal ikke alle sammen til at være eksperter i it-sikkerhed, og vi skal heller ikke gå i panik over den ofte lidt abstrakte trussel fra cyberverdenen. Det kommer der sjældent noget godt ud af. Tværtimod skal vi se it-sikkerhed som en klassisk ledelsesopgave med klassiske forretningsrisici og -muligheder. Og så er opgaven ikke længere så abstrakt eller uoverskuelig.