Cybersäkerhet är inte längre bara en teknisk fråga om brandväggar och anti-virusmjukvara som hanteras av IT-avdelningen, det är idag en strategisk ledningsfråga.
Med ökad digitalisering och tekniska framsteg som artificiell intelligens (AI) och Internet of Things (IoT) är det avgörande för företagsstyrelser att ta ett aktivt ansvar för cybersäkerheten. Styrelsen har en nyckelroll i att säkerställa att företaget är skyddat mot cyberhot, vilket kräver ett aktivt och engagerat ansvarstagande för säkerhetsfrågor.
Styrelsens ansvarsområden inom cybersäkerhet
Styrelsens ansvarsområden är omfattande och börjar med en grundlig riskbedömning. Det är viktigt att hela styrelsen förstår vilka cyberrisker organisationen står inför. Inte bara ur ett driftperspektiv utan också de finansiella riskerna. Det innebär att alla måste överväga hur verksamheten påverkas av driftstopp och dataförluster vid ett intrång. Prioritering av cybersäkerhet är centralt och måste ses som en kontinuerlig del av företagets strategiska planering. Likaså bör cybersäkerhet integreras i alla delar av företaget.
Förutom att identifiera och prioritera risker måste styrelsen också säkerställa att organisationen är väl förberedd för eventuella incidenter. Att det finns effektiva kris- och katastrofplaner på plats. Det är avgörande att regelbundet öva på driftstopp och intrång. Hur kommer verksamheten igång igen?
Likaså är det viktigt att arbeta för en stark säkerhetskultur inom hela organisationen. Men styrelsen ska inte bara engagera sig i säkerhetsövningarna, utan även aktivt uppmuntra alla medarbetare att delta i och bidra till säkerhetsarbetet.
Varför är cybersäkerhet en ledningsfråga?
Hoten som tornar upp sig är många och ofta avancerade. Hotaktörer utvecklar sin teknologi och strategi i snabb takt. Utan en förankring i styrelsen blir det svårt, om inte omöjligt, för verksamheten och IT-avdelningen att hålla jämna steg. Tiden när en stark brandvägg och uppdaterade anti-virusprogram ansågs vara ett fullgott skydd är sedan länge förbi. Jämfört med idag ser hoten väldigt annorlunda ut mot hur det var för 10-15 år sedan och faktiskt också för bara 2-3 år sedan.
- Teknisk utveckling. Snabb teknisk utveckling, och IT-miljöns komplexitet med molntjänster, IoT och AI introducerar nya säkerhetsrisker som måste hanteras proaktivt.
- Ransomware och phishing. Social Engineering är den vanligaste metoden som används av cyberbrottslingar för att kompromettera system och stjäla känslig information.
- Interna hot. Alla hot kommer inte utifrån. Det finns risker associerade med nuvarande eller tidigare anställda som missbrukar sina åtkomsträttigheter. På samma sätt är den mänskliga faktorn i vardagen en risk.
- Regelkrav. Detta är inte ett direkt hot men definitivt en ledningsfråga. Ökande lagkrav såsom NIS2 och DORA som kräver att företag håller en hög nivå av cybersäkerhet och rapportering, gör regelkrav till en väsentlig ledningsfråga.
AI förändrar spelplanen
AI förändrar hur många företag fungerar. Vinsterna med AI är många men medför samtidigt nya risker. Styrelsen måste förstå och övervaka hur AI används inom organisationen för att maximera dess potential. Samtidigt är det nödvändigt att skapa rutiner som hanterar riskerna som följer med teknologin. Det är viktigt att styrelsen säkerställer att AI implementeras på ett etiskt och ansvarsfullt sätt, som uppfyller såväl interna som externa riktlinjer och lagar. Detta innebär att vara uppmärksam på frågor som rör integritet, dataskydd och transparens i beslutsprocesser som drivs av AI.
Åtgärder styrelsen kan göra för att höja cybersäkerheten
- Utbildning och medvetenhet. Regelbunden utbildning inom cybersäkerhet på alla nivåer i organisationen är avgörande.
- Tydliga ansvarsområden. Att veta vem är ansvarig för vad och vilka befogenheter som följer, kan vara avgörande för att snabbt kunna agera vid ett angrepp.
- Investera i teknologi och kompetens. Att allokera tillräckliga resurser för säkerhet, som att rekrytera kompetent personal eller säkerställa extern expertis. Allt för att hålla jämna steg med de växande cyberhoten.
- Övervakning och respons. En intern eller extern incidenthantering är nyckeln till att minimera skador vid en attack.
- Revidera riktlinjer och rutiner. Det är viktig att genomföra en regelbunden översyn av säkerhetspolicys och interna rutiner för att säkerställa att de är aktuella och robusta.
- Etablera handlingsplaner. Skapa tydliga handlingsplaner för allt från fysisk säkerhet till datahantering. Vem har tillgång till vad och hur?
Affärskontinuitet och cybersäkerhet är idag en ledningsfråga
Med allt mer avancerade hot mot användare, data och infrastruktur har cybersäkerhet nästintill blivit synonymt med affärskontinuitet. Se bara på cyberattackerna mot Coop, Bjurholms kommun och danska CloudNordic. För att hantera risker effektivt måste styrelsen vidta proaktiva åtgärder. Att vänta och se eller tänka att ”det där är IT-avdelningens ansvar” kan bli kostsamt, ja till och med förödande.