cybersikkerhet
Cybersikkerhet – fra serverrom til styrerom
Digitaliseringen skyter fart i samfunnet. Det øker sårbarheten til verdiene vi vil beskytte. Hvem har ansvaret for sikkerheten? spør styreleder Terje Wold i Den Norske Dataforening.
Terje Wold er direktør i KPMG og styreleder i Den Norske Dataforening.
SYNSPUNKT: Samfunnet digitaliseres som aldri før med mål om økt verdiskaping, vekst og innovasjon. Digitalisering er blitt et moteord som ofte kombineres med transformasjon og disrupsjon for å vise endringskraft. Vi har digitalisert i flere tiår, men kraften og omfanget er mye større enn tidligere.
Det digitale går på tvers av funksjoner, organisasjoner og land, og dermed oppstår det komplekse digitale verdikjeder som er vanskelig å kontrollere. Det skaper en strukturell samfunnsmessig sårbarhet hvor uønskede hendelser raskt kan forplante seg med uante konsekvenser. Vellykket digitalisering krever derfor sikring av slike verdikjeder for å unngå at den digitale drømmen blir et cybermareritt.
Digitalisering og cybersikkerhet er dermed to alen av samme stykke som begge berører hele virksomheten. Mange ser likevel på cybersikkerhet som et isolert IKT-ansvar, mens det i realiteten er en kritisk del av virksomhetens helhetlige risikostyring og en integrert del av dens strategi.
Ansvaret må derfor overføres fra serverrommet til styrerommet. Men skjer det?
KPMG møter ofte usikre styremedlemmer og toppledere som ikke helt vet hvordan de skal bære det nye ansvaret og håndtere ukjente cybertrusler. Vår lederundersøkelse «CEO Outlook» viser at kun en av tre norske toppledere føler at virksomheten er godt nok rustet her. Under halvparten er komfortable med ansvaret for cyberrisiko som del av sin lederrolle.
I rapporten «Helhetlig IKT-risikobilde 2017» skriver Nasjonal sikkerhetsmyndighet (NSM). at de fortsatt erfarer at virksomhetenes IKT-avdeling kan ha implementert gode og fornuftige sikringstiltak, men at tiltakene ikke er forankret i ledelsen. Sikkerhetsarbeidet blir dermed ikke en prioritert del av den totale styringen av virksomheten. Den gode nyheten er at norske virksomheter blir stadig mer oppmerksomme på denne utfordringen ifølge rapporten.
Regjeringen la i fjor frem stortingsmeldingen «IKT-sikkerhet - Et felles ansvar» hvor viktigheten av god ledelse og styring av sikkerhetsarbeidet blir fremhevet. Og i fjor høst opprettet regjeringen et IKT-sikkerhetsutvalg som skal legge frem en NOU mot slutten av 2018. Samtidig innføres nye lover og forskrifter på ulike områder. Fra EU kommer GDPR og NIS-direktivet i mai, mens nasjonalt oppgraderes sikkerhetsloven og sektorspesifikt regelverk. Regulatoriske forhold øker dermed fokuset på digital sikkerhet.
Det er lett å få inntrykk av cybersikkerhet som et mørkt landskap. Flere undersøkelser viser imidlertid at stadig flere ledere betrakter det som et grunnlag for innovasjon og vekst. I Cisco sin topplederundersøkelse «Cybersecurity as a growth advantage» svarer 69 prosent at digitalisering er svært viktig for videre vekst. Samtidig sier 64 prosent at cybersikkerhet er en sentral forutsetning. I KPMGs tilsvarende undersøkelse for 2017 mener 9 av 10 nordiske toppledere at god sikkerhet avler innovasjon mot 6 av 10 globalt. Cybersikkerhet skal dermed både beskytte og utvikle.
Det som startet på serverrommet er nå en del av styrets arbeid. Mye står på spill og styret skal stille mange spørsmål fremover. En god start kan være å kjøre en modenhetsanalyse med fokus på styrets og ledelsens rolle, ansvar og dialog på området. Resultatet gir et overordnet blikk på status, mål og tiltak. Tre hovedspørsmål bør stilles: 1) Hva er de nye cybertruslene og hvordan påvirker de vår virksomhet? 2) Er vi godt nok rustet til å møte dette trussellandskapet? 3) Hvilke indikatorer bør styret overvåke for effektiv risikostyring?
En slik analyse må omfatte mer enn IKT-drift og teknologi; blant annet styring og ledelse, menneskelige faktorer, risikohåndtering, kriseberedskap og regulatoriske forhold. Ledelsen kan deretter iverksette anbefalte tiltak.
Journalisten Brian Krebs har skrevet artikkelen «The value of a hacked company». Den bør leses av ledere som fortsatt lurer på om dette angår dem.