IT-sikkerhed er blevet et emne på bestyrelsesniveau. Hvilken betydning har det for IT-chefen og hvad (og hvordan) skal han kommunikere til dem? Dét vil dette indlæg kigge nærmere på.
Da IT-sikkerhed blev et emne for bestyrelserne
I en artikel i Børsen efterlyser en journalist mere fokus på IT-sikkerhed i bestyrelsen og at dette bliver et fast punkt på dagsordenen på bestyrelsesmøderne.
Med min erfaring, hvor jeg igennem flere år har arbejdet med virksomheder og bestyrelser om ”Risk management”, vil jeg gerne give mit besyv, og forsøge at belyse, hvad bestyrelsernes øgede interesse for IT-sikkerhed betyder for dig som IT-chef.
Og derudover, vil jeg kigge på hvilke nye værktøjer, du kan anvende for at dokumentere arbejdet med IT-sikkerhed for bestyrelsen.
Eftersom flere og flere private og offentlige virksomheder oplever angreb på deres IT-systemer, og at et veludført angreb kan have en overordentlig negativ betydning for virksomheden (2 mia. er alligevel også en slags penge – også for Mærsk!), så er det ikke spor underligt at bestyrelserne har en holdning og tager ansvaret på sig. Analyser påviser at op til 70% af alle danske virksomheder, har været udsat for angreb på deres IT, mobiltelefoner, industrispionage m.v.
IT-sikkerhed er et alvorligt emne, det er vist gået op for de fleste. Og IT-sikkerhed er derfor allerede et spørgsmål der seriøst bliver diskuteret i bestyrelserne – under gennemgangen af virksomhedens Risk Management strategi og governance
Forstå bestyrelsens syn på IT-Sikkerhed
For en bestyrelse vil det oftest være mere attraktivt at investere for at få en gevinst fremfor at investere for at undgå et potentielt tab.
Som IT-chef skal man være opmærksom på, at for bestyrelsen er Risk Management ikke spørgsmål, der kan omsættes i investering i forhold til udbytte, men en investering i forhold til risici.
På dette punkt bliver den menneskelige adfærd udfordret i forhold til, hvornår man vælger at beskytte sig. Tager man udgangspunkt i hvornår mennesker typisk køber alarmsystemer og overvågningsudstyr, er det ofte når man har oplevet, at man selv, naboen eller bekendte har haft et indbrud. Belært af skaden (re)agerer man.
Som virksomhedsejer eller bestyrelsesmedlem har man ikke et ansvar for sig selv og sin familie – men for driften af virksomheden og virksomhedens økonomi m.v. Dermed bør den ansvarlige bestyrelse stille spørgsmål til virksomhedens sikkerhed – og sikre sig, at man på alle måder har forsøgt, at imødegå angreb på virksomhedens IT-infrastruktur m.v. da et angreb kan have væsentlig indflydelse på virksomhedens drift, økonomi, omdømme og investorer.
Under dette punkt, Risk-Management, møder man spørgsmål som f.eks.:
- Hvor sårbare er vi – og er dette noget vi VED – eller er det noget vi tror?
- Hvad gør vi for at undgå et cyberangreb på virksomhedens data, IT-system og brugere?
- Hvordan har vi sikret os imod et angreb – og hvilke scenarier skal vi arbejde efter i tilfælde af et cyberangreb?
- Hvad kan konsekvenserne være (worst case), hvis vi bliver udsat for et cyberangreb, ransomware, phishing, hackere eller industrispionage m.v.?
- Er medarbejderne uddannet til at imødegå et eventuelt angreb – eller, er dette noget som IT-afdelingen alene har ansvaret for?
- Har vi udarbejdet planer for, hvad medarbejderne skal agere i tilfælde af et cyber-angreb?
- Hvad koster det pr. dag, hvis medarbejderne ikke kan bruge deres IT-udstyr, telefoner m.m.?
Som IT-chef er det derfor din opgave at give bestyrelsen ro i maven i forhold til spørgsmål som de ovennævnte. Men hvordan kommunikeres dette til bestyrelsen i et let og forståeligt sprog – uden at det bliver en rapport med alt for mange bits og bytes?
IT-chefens opgave med afrapportering til bestyrelsen
Den bedste platform til dette er dashboards, der med overskuelige grafiske KPI’er kan forklare, hvad der foregår i og omkring virksomhedens firewall, og på den enkelte brugers IT-udstyr.
Hvilke KPI’er er relevante? Det kunne være:
- Antal forsøg på, at komme ind bag virksomhedens firewall (fra logs), hvilket formentlig vil overraske de fleste bestyrelsesmedlemmer. Virksomhedernes firewall bliver konstant udfordret af både hackere og ”robotter” der forsøger, at finde sårbarheder i virksomhedens netværk.
- Antal virusangreb på brugernes udstyr – og ikke mindst årsager til, at dette kunne lade sig gøre
- Tid benyttet til at opdatere og vedligeholde virksomhedens antivirus platform
En positiv effekt af en sådan afrapportering er, at det måske også kan hjælpe med at dokumentere og kommunikere det behov, der evt. måtte være for nye investeringer i IT-sikkerheden. Hvis man f.eks. kan påvise at trusselsniveauet er stigende, ja så vil det vel være naturligt for de fleste, at virksomheden må sikre sig bedre.
Hermed slutter mine betragtninger af bestyrelsernes arbejde med IT-sikkerhed – foreløbigt i hvert tilfælde. Jeg håber de er brugbare og at I kan genkende dem.
Har I kommentarer eller input er I meget velkomne til at skrive til mig på bm@teleit.dk – det kunne være rigtig interessant at høre jeres erfaringer.
Tak fordi I læste med.
Bedste hilsner,
Bjarne Mattila, IT-sikkerhedskonsulent
Modtag indlæg som dette i din indbakke?
Vi deler viden og indsigt her på vores blog. Hvis du gerne vil modtage indlæggene direkte i din indbakke, så skriv dig op her.