Varför är Cyber Security en ledningsfråga?

"Först och främst måste vi öka medvetandegraden om vilken information som våra system och nätverk innehåller. Säkerhet handlar inte bara om att utveckla tekniska lösningar, utan i ett bredare perspektiv om att förstå vilken information som är kritisk för företagen och vad som är viktigt att skydda."

Så kommenterade Marcus Wallenberg sin syn på begreppet Cyber Security, när han intervjuades i det senaste numret av vår kundtidning Combined.

Han argumenterar för att placera begreppet i en större riskkontext och sätter fingret på en av ledningsgruppens viktigaste uppgifter: riskhantering – i det här fallet rörande IT-system och informationen i dessa.

Riskhantering handlar om att kunna balansera affärs- eller verksamhetsnytta med säkerhet. Och det kräver att ledningsgrupperna har tillräcklig kunskap för att ställa rätt krav på de operativa processerna. Det måste också finnas god förmåga till krisledning – alltså att fatta rätt beslut när informationssystemen blivit angripna.

Att förstå värdet av den information som verksamheten hanterar och vilka konsekvenserna blir om denna skulle förloras, förvanskas eller förloras är grundläggande. Många gånger handlar det även om konsekvenser för avtalsparter eller en tredje part. Och det gäller att ha koll vad som är mest kritiskt och skyddsvärt – och när. Cybersäkerhet är allt annat än statiskt.

En ledningsgrupp måste också ha förståelse för potentiella hot och de olika miljöer där hoten uppträder. 

Hoten förändras i sina uttryck, men syftena är oftast konstanta – till exempel utpressning, industrispionage, varumärkesattacker, stöld av Intellectual Property, sabotage eller liknande. För ledningsgruppen är det viktigt att kunna bedöma konsekvenserna av ett hot i olika operativa situationer, med hjälp av kvalificerade ingångsvärden från medarbetarna, för att fatta väl avvägda affärs- eller verksamhetsbeslut.

En ledningsgrupp bör kunna svara på viktiga grundläggande frågor när det gäller cybersäkerhet:

  • Hur är vår förmåga i förhållande till rådande hotbild i vår omvärld?
  • Vilka är organisationens viktigaste tillgångar?
  • Hur påverkar cybersäkerhetsrisker verksamhetens mål och strategi?
  • Hur hanterar vi våra risker, hot och potentiella angripare?    
  • Efterlever vi relevanta standarder och regelverk?
  • Hur ligger vi till i förhållande till andra när det gäller säkerhetsnivå, investeringar och liknande?
  • Vilka incidenter har vi haft?
  • Vad orsakade incidenterna och vad har vi gjort åt dem?
  • Blir vi bättre på cybersäkerhet och riskhantering?

Svaret på den sista frågan kan ju låta enkel: Ja eller nej. Men för att kunna svara på den krävs god insikt i de andra frågorna. Det krävs också rätt information och beslutsunderlag från organisationen. Och inte minst en god egen säkerhetsmedvetenhet.

Att bli bättre handlar inte bara om att höja säkerhetsnivån, utan att anpassa den i enlighet med existerande hot och risker. Det gäller att kunna prioritera rätt och agera i rätt tid. Därför är Cyber Security en självklar fråga för ledningsgruppen.

Pernilla Rönn, Affärsområdeschef Cyber Security.