Cybersikkerhet for styret og daglig leder

De fleste forstår at cyberangrep handler om høy og uønsket risiko. Ledelsen i mange bedrifter, spesielt små og mellomstore, ser derimot ikke hvordan de skal sette av ressurser nok til å forstå eller ta tak i temaet.

«Vi skulle gjerne, men har bare ikke kapasitet eller kompetanse til å ta oss av dette akkurat nå» er gjerne svaret når det stilles spørsmål til hvordan det jobbes med cybersikkerheten. Profesjonelle aktører gir typiske «Topp-3»-anbefalinger som «alle» skal kunne gjennomføre, men som for mange eiere, styremedlemmer eller ledere allikevel ikke fremstår som enkle å ta tak i eller overkommelige i praksis. I en slik situasjon er det lett å la seg frustrere av et nyhetsbilde preget av ukentlige innslag om cyberangrep. Hvordan skal styret og den daglige ledelsen forholde seg til cybertrusselen når ikke engang «de enkle» anbefalingene gjør det mulig å starte på arbeidet?

Hva?

Det er enkelt for den som arbeider med cybersikkerhet til daglig og har en grunnleggende forståelse for hva dette handler om, å henvise til anerkjente rammeverk som for eksempel ISO27001, NIST CSF, CIS Controls, NSMs Grunnprinsipper for IKT-sikkerhet og IEC62443. Vi verken kan eller skal kunne forvente at styret eller øverste ledelse tar valg på så operative nivå som mange av disse rammeverkene eller standardene representerer. Videre er det lett som utenforstående å presisere hvor viktig det er å skaffe seg god oversikt over selskapets aktiva, gjøre gode verdivurderinger, ta stilling til sin egen risikovilje samt gjennomføre cyberøvelser. Budskapet er lett forståelig og helt åpenbart hensiktsmessig, men ikke umiddelbart enkelt å iverksette. For bedriftene som har utfordringer med å frigjøre ressurser, kapasitet og kompetanse til dette, bidrar anbefalingen gjerne bare til økt frustrasjon.  

De færreste bedrifter innen SMB har sin egen IT-avdeling, og forventer gjerne at deres profesjonelle IT-leverandør tar seg av cybersikkerheten. Leverandørens tjenesteavtale har ofte en svært god dekning, men kan umulig ta høyde for kundens egen bruk av løsningen – de ansattes digitale adferd, herunder kundens egne måter å lagre, beskytte og dele data på. Tjenesteavtalen tar normalt heller ikke høyde for eventuelle tillegg eller anskaffelse av nye IT-løsninger som bedriften tar i bruk på egen hånd. Ved et faktisk cyberangrep er det dessuten ingen automatikk i at IT-leverandøren bistår med å håndtere hendelsen fra den er et faktum og til bedriften er tilbake til normaldrift. Leverandørens krise- og beredskapsplaner, og ansvars-/oppgavefordelingen ved et cyberangrep, må avstemmes med bedriftens egne forutsetninger og evne til å respondere ved en alvorlig hendelse.

Intensjonen med denne artikkelen er ikke å gi flere «Topp 3»-anbefalinger knyttet til rammeverk, standarder eller verdivurderinger, eller formane om at ansvaret ligger hos ledelsen. Derimot er hensikten å belyse hva vi mener er en av hovedårsakene til utfordringene:

Styret og toppledelse ser ikke hvilket effektiviseringspotensial som ligger i at de selv tar aktivt del i etableringen av sikkerhetsstyringen fra et overordnet nivå.

Riktig sikkerhetsstyring setter søkelyset på medarbeiderne og forretningsmessige resultater, og vil i sum ha en lavere kostnad enn om bedriften skal fortsette å «fomle» etter en løsning på problemet, eller utkontraktere til en IT-leverandør i håp om at problemet forsvinner.

Det er ikke tilstrekkelig fra styret å gi tydelige uttalelser om at cybersikkerhet er et viktig satsingsområde som ledere og ansatte må ta på alvor. Det er heller ikke tilstrekkelig fra styret å delegere ansvaret til daglig leder uten å ha en strukturert og helhetlig dialog om premisser og forutsetninger for å levere. Vi både kan og skal forvente at styret og daglig leder har en tydelig nysgjerrighet, grunnleggende forståelse og et engasjement som smitter på resten av organisasjonen. Uten et slikt aktivt engasjement vil cybersikkerhet fortsette å virke som en belastning for både styre og den daglige ledelsen. Med et slikt aktivt engasjement vil styret og den daglige ledelsen enkelt starte i riktig ende basert på eksisterende forutsetninger, og i det minste få til en start på arbeidet med å drive et kostnadseffektivt sikkerhetsarbeid.

Det må andre rammer til for at selskaper skal kunne drives forsvarlig.

Hvordan?

Som styreleder/-medlem er du ansvarlig for forvaltningen av selskapet. De tre viktigste bidragene fra deg som styreleder eller -medlem, når det gjelder sikkerhetstilstanden og selskapets reelle forsvarsevne, er å:

• Sørge for at styret har nødvendig kompetanse, eller tilgang på dette. Det beste for en fremtidsorientert virksomhet vil være å få nødvendig kompetanse inn som en del av styret. All den tid styret ikke inneholder denne kompetansen bør det ta aktivt stilling til hvordan det ønsker at sikkerhetstilstanden og selskapets reelle forsvarsevne skal rapporteres. Dette betyr at styret selv må stille spørsmål og være kritiske til temaet sett opp mot selskapets strategi og eksistensgrunnlag, slik at styremedlemmene faktisk er i stand til å forstå og ta beslutninger basert på det som rapporteres. Alt for mange styrerom får presentert cybersikkerhetsrapporter der CEO eller CISO bestemmer agendaen uten at denne er koordinert med styret eller satt i sammenheng med selskapets øvrige strategi, budsjett og styringsmekanismer.
• Etablere et godt samarbeid med daglig leder, der styret opptrer som en løsningsorientert premissgiver og aktiv støttespiller, og cybersikkerhet ideelt sett er etablert som et eget budsjettpunkt. Ved å ta i bruk nødvendig kompetanse som nevnt ovenfor bør du som styreleder eller -medlem søke å utvikle en god relasjon til daglig leder, og bruke dette som et solid fundament for en dynamisk og riktig sikkerhetsstyring i den daglige driften.
• Underbygge arbeidet med sikkerhetsstyringen og -kulturen i selskapet gjennom å gjøre styrets oppmerksomhet og interesse for dette synlig for alle i selskapet. Dersom styret erkjenner at cybersikkerhet inngår som et virkemiddel for at selskapet skal nå sine strategiske målsettinger, og samtidig gir klart uttrykk for hvordan god sikkerhetsadferd verdsettes, vil dette legge til rette for en langt smidigere og mer effektiv sikkerhetsstyring ut i selskapet.

Som daglig leder skal du sørge for at den daglige driften er forsvarlig og i samsvar med styrets forventninger og retningslinjer. De tre viktigste bidragene fra deg som leder, når det gjelder sikkerhetstilstanden og selskapets reelle forsvarsevne, er å:

• Utvikle en sterk «stammekultur» som er preget av samhold og deling, der alle forstår at de utgjør en forskjell når det gjelder å beskytte selskapet mot cyberangrep. En sterk stammekultur vil legge det beste grunnlaget for en solid sikkerhetskultur, der det er lov å gjøre feil, lov å varsle og lov til å gi tilbakemeldinger, som del av selskapets totalforsvar mot cyberangrep. I dette arbeidet må du som leder by på deg selv og vise gjennom handling, både når feil begås og når noe gjøres riktig og godt.
• Erkjenne at sikkerhetsstyring er en egen ledelsesdisiplin som må beherskes og er en forutsetning for at selskapet skal evne å arbeide helhetlig og effektivt med cybersikkerhet. Som leder må du sette tydelige krav om at arbeidet med cybersikkerhet skal kunne knyttes til selskapets forretningsmessige målsettinger. Dette betyr blant annet at du må både kunne erkjenne og kommunisere behovet for å tilgjengeliggjøre nødvendige ressurser.
• Koble cybersikkerhet til selskapets resultater gjennom å etablere god måling av cybersikkerheten. Målingen vil gjøre det mulig å drive kontinuerlig forbedring og dermed underbygge selskapets økonomistyring. Det er dette god risikostyring handler om. En omforent metodikk for rapportering av hva slags innsats de ulike sikkerhetstiltakene krever, samt hvilken effekt disse tiltakene har, vil gjøre det enklere å utvikle en høyere kostnadsbevissthet i arbeidet med cybersikkerhet.

I Melius Consulting AS er vi opptatt av å forstå forretningen godt nok til å aktualisere hvilke reelle utfordringer og farer som truer virksomheten, og kommunisere dette på en måte som beslutningstakerne forstår, slik at dette kan benyttes videre i deres risikostyringsprosesser. Med høy integritet gir vi råd og konkrete anbefalinger som synliggjør og balanserer nødvendig innsats opp mot forventet effekt.

‍

Kontakt
Roger Ølstad
913 98 547
roger@meliusconsulting.no