Cyberrisici: Bestyrelsens strategiske ansvar

Forestil dig, at din virksomhed bliver ramt af et målrettet cyberangreb.

Systemerne lammes, data kompromitteres og tilliden fra kunder og samarbejdspartnere smuldrer. For mange virksomheder og organisationer er det ikke længere et hypotetisk scenarie – det er blevet til virkelighed.

Her kommer bestyrelsen på banen.

Cybertrusler i Europa – en eskalerende risiko

Ifølge IT Governance Europe (Data Breaches and Cyber Attacks – Europe 2024 Report – IT Governance Blog >) blev der i 2024 alene registreret over 2,2 milliarder data records, som blev kompromitterede i Europa fordelt på 556 offentligt kendte hændelser.

ENISAs seneste Threat Landscape Report (Threat Landscape | ENISA >) fremhæver ransomware og DDoS-angreb som de mest udbredte trusler i regionen.

CERT-EU rapporterer (CERT-EU – Threat Landscape Report 2023 >), at 80 trusselsaktører var aktive mod EU-institutioner i 2023, med 906 ofre for ransomware alene i Europa.

Disse analyser og tal understreger, at cyberrisici ikke blot er et tekniske IT problem. De er forretningskritiske risici, som bestyrelsen skal forholde sig til.

Cyberrisici: Ikke kun et problem for CISO – det er også et ledelses- og bestyrelsesansvar

World Economic Forum (WEF) har i samarbejde med Harvard udviklet forslag og guidelines for bestyrelsens rolle og good governance i forbindelse med cybersikkerhed, herunder:

  1. Cybersecurity som strategisk forretningsdriver
  2. Udvikling af cybersikkerhedskompetence i bestyrelsen
  3. Samarbejde på tværs af organisationen for systemisk modstandsdygtighed

Se mere her:  WEF_Cyber_Risk_Corporate_Governance_2021.pdf >

Principles for Board Governance of Cyber Risk >

En multi-disciplinær tilgang virker: – skab et samarbejde mellem bestyrelse, CISO, juridisk afdeling og risk manager.

For at skabe en effektiv cyberrisikostyring kræves der et tværfagligt samarbejde.

Ifølge Harvard og MIT bør bestyrelsen:

  1. Involvere CISO’en i strategiske drøftelser
  2. Samarbejde med juridisk afdeling om regulatoriske krav og ansvar
  3. Koordinere med risk manageren for at integrere cyberrisici i den samlede risikostyring

Professor Stuart Madnick fra MIT fremhæver et eksempel på en risiko: ”Så længe organisationer opbevarer store mængder persondata ukrypteret i skyen, vil individer være i risiko for at få deres data stjålet og misbrugt.”

Fra teknisk ekspertise til strategisk dialog

Bestyrelsen kan stille krav til, at CISOens risikorapportering indeholder meget mere end en status på firewalls og phishing og at der foretages en forretningsmæssig risikovurdering samt tilhørende vurdering af behov for investeringer og konsekvenser for virksomhedens driftsmæssige robusthed og omdømme.

Bestyrelsen kan bl.a. stille spørgsmål som:

  1. Hvordan påvirker cyberrisici vores forretningsmodel?
  2. Hvilke investeringer i cybersikkerhed skaber størst værdi?
  3. Hvordan er vores beredskabsplan testet og opdateret?

James Scott, cybersikkerhedsforsker ved Institute for Critical Infrastructure Technology, ser lagdelt forsvar som en grundpille i moderne cybersikkerhed.

Han argumenterer for, at der ikke findes én “silverbullet”, der kan stoppe alle trusler. I stedet bør virksomheder og organisationer anvende flere beskyttelseslag, der kombinerer tekniske, organisatoriske og menneskelige elementer. “Only layered defense works,” som han udtrykker det.

For bestyrelsen betyder det, at investeringer i cybersikkerhed ikke kun bør fokusere på teknologi, men også omfatte træning, governance og samarbejde på tværs af afdelinger.

Cyberrisikostyring og robusthed som konkurrencefordel

Virksomheder og organisationer, der integrerer cybersikkerhed i deres strategi, klarer sig bedre på sigt.

En McKinsey-undersøgelse af 114 virksomheder (A board-level view of cyber resilience | McKinsey >) viste, at kun 10 % havde et cybersikkerhedsniveau, der kunne modstå avancerede trusler og angreb. Samt at de virksomheder, hvor bestyrelsen var involveret og som havde en strategisk tilgang klarede sig markant bedre.

Det handler derfor ikke kun om forsvar, men om en pro-aktiv, strategisk og multi-disciplinær tilgang. Det skaber vedvarende og langsigtet robusthed, værdi og tillid i forhold til samarbejdspartnere og andre stakeholders.

Bestyrelsen og cybersikkerhed

Virksomheder og organisationer har vidt forskellige strukturer, kulturer og risikoprofiler. Som nævnt ovenfor, er der derfor ikke kun en universel metode eller løsning, når det gælder om at etablere en effektiv styring af cybersikkerheden.

Alligevel er der nøglepunkter, som kan nævnes:

  1. Cyber literacy: Bestyrelsesmedlemmers grundlæggende forståelse for digitale risici og cybertrusler.
  2. Strategisk dialog: Cyberrisici som en del af bestyrelsens årshjul, dagsorden og strategiske drøftelser.
  3. Multidisciplinært samarbejde og rollefordeling: – mellem CIO og CISO, risk manager, juridisk afd. mv.
  4. Træning og kultur: Hele organisationen – inkl. bestyrelse, ledelse og medarbejdere – modtager regelmæssig cybersikkerhedstræning.
  5. Modenhed og målinger: Bestyrelsen får relevante målinger af trusselsniveauer og virksomhedens/organisationens evne til respondere.

Cybertruslerne udvikler og ændrer sig konstant – og det skal bestyrelsens kompetencer også. Det kræver nysgerrighed, samarbejde og mod til at stille de svære spørgsmål samt til at forstå, diskutere og træffe strategiske beslutninger om digitale risici.

Digitale kompetencer i bestyrelsen er en del af good governance og kan skabe langsigtet værdi. Uden dem udsættes virksomheden unødigt for risici, den hverken forstår eller er klædt på til at håndtere.

This article was first published here >

Leave a Reply

Your email address will not be published. Required fields are marked *