En række højtprofilerede hacker-angreb i USA mod både olierørledninger og slagterier har sat fokus på it-sikkerheden i alle typer virksomheder, samt det ansvar der ligger i at holde de it-kriminelle ude.

Bestyrelser og direktioner kan ikke længere skubbe ansvaret for at kunne modstå cyber-angreb ned i it-afdelingen eller til compliance-funktionen. De skal selv aktivt interessere sig for og sætte retningen på dette område.

I den sammenhæng er der behov for en ændret sikkerhedskultur i direktioner og bestyrelser, og heri ligger også en bydende nødvendig opkvalificering. Ganske enkelt så de kan udfylde deres rolle og varetage deres ansvar i kraft af deres funktion.

Dette vil helt sikkert påvirke bestyrelses-sammensætningen over tid, hvor bestyrelser i stigende grad også skal besættes med særlige faglige profiler til håndtering af operationelle risici. Bestyrelser og direktioner skal indse, at cyber-risici ikke er et it-anliggende. Derimod skal denne type risici anskues på samme vis som alle andre kritiske risici for virksomheden.

Bestyrelserne og direktionerne skal derfor starte med at tage stilling til, hvilken sikkerhedskultur de vil repræsentere, og dernæst skal de begynde at stille de rigtige spørgsmål angående Cyber-sikkerhed for at øge deres situationsforståelse. Som minimum bør en bestyrelse forstå de aktuelle risici, deres virksomhed står overfor, de primære metoder der kan anvendes til at udnytte disse risici, såvel som hvordan deres organisation håndterer disse risici.

Cyber som begreb er meget brugt for tiden og er årsag til både forvirring og ultimativt utilstrækkelig beskyttelse mod cyber-angreb, fordi det er uklart, hvad begrebet reelt dækker over. Oftest associeres ordet med it-afdelingen, og forventningen er, at de håndterer sikkerheden.

I mange virksomheder sker der det, at forretningsenheder påtager sig digitaliserings-agendaen, som traditionelt har været faciliteret af it-afdelingen. Den centraliserede risikostyringsmodel er således under stærkt pres – og det kalder på nye styringsmodeller for over tid at kunne fastholde en sammenhængende og robust forretningsarkitektur.

Ydermere ser vi nu, at modstanderne i stigende grad kombinerer angrebsmetoderne, og der opstår dermed hybride trusler, der kalder på samordning og koordinering på tværs af de operationelle risikoområder i virksomheden.  

Silo-styring skal opløses

Det er derfor bydende nødvendigt, at virksomheder begynder at organisere sig i henhold til denne trusselsudvikling. Silo-styringen skal opløses i organisationerne, og der skal indføres horisontale samarbejder om bl.a. fælles rapportering, fælles risikovurdering, samtænkning af sikringsforanstaltninger, samt sammenhængende informationsflow og beslutningsprocesser.

Bæredygtig risikostyring har altid bestået – og vil altid bestå – af at tilstræbe at træffe de rigtige beslutninger rettidigt. Som følge af den kraftigt ekspanderende informationsmængde, kan vi som individer ikke længere kognitivt kapere al den nødvendige information, og vi kan da slet ikke tage højde for alle elementer af interesse for vores virksomhed.

For at kunne navigere i en stigende digitaliseret verden skal organisationer derfor omstille sig til at bruge data. Gennem sammenstilling og analyse af data kan vi måle på de rigtige ting, og vi kan således opnå den fornødne indsigt ved at blive præsenteret for den rigtige information på det rigtige tidspunkt. Dette er en organisatorisk kompetence, der skal etableres – mange har den ikke i forvejen, og den vil være styrende for fremtidens måde at drive risikostyring på.

Næste gang bestyrelsen og direktionen bliver præsenteret for en PowerPoint-præsentation, hvor der rapporteres på risiko-eksponering, kunne de overveje at stille spørgsmålet: "Hvor kommer denne information fra, og hvilken proces ligger der bagved denne rapportering?"

Dernæst kunne bestyrelsesmedlemmerne reflektere over, om de egentlig har fået den information, som de har brug for i deres rolle og ansvar som risikoejer. Har de opnået tilstrækkelig indsigt i, hvordan tingene egentlig hænger sammen, samt hvor eksponeret virksomheden egentlig er, samt om den gør de rette ting for at håndtere de væsentligste trusler?

Ledelsen skal stilles til ansvar

Udfordringen med cyberangreb er, at de kan trænge igennem stort set alle virksomhedens ydre forsvarssystemer, såsom firewalls og de systemer, der advarer om indbrud. Disse cyber-angreb planlægges omhyggeligt før et specifikt mål angribes. De ubudne gæster vil afprøve flere veje ind for at udnytte sårbarheder i alle lag af sikkerhed, indtil de når deres mål.

Virkeligheden er, at hvis en sofistikeret angriber målrettet angriber en virksomhed, vil de næsten helt sikkert bryde igennem sikkerheden. Det betyder ikke, at et effektivt forsvar er umuligt, men det betyder, at cyber-sikkerhed skal være mere end et simpelt it-baseret ydre forsvar. Angrebene er blevet mere sofistikerede, og derfor skal forsvaret også være mere sofistikeret.

Det er ikke bestyrelsens ansvar at blive it-eksperter, men bestyrelsen skal vide, hvilke spørgsmål de skal stille it-afdelingerne. Derudover skal bestyrelsen påtage sig lederskabet og de nødvendige forpligtelser - ved proaktivt at føre tilsyn med og holde topcheferne ansvarlige for at prioritere virksomhedens beskyttelse mod cyber-angreb.

Klumme: Hvordan samarbejde styrker innovationshastigheden

Klumme: Fintech-vækst viser at det er mennesker der giver teknologi værdi