Cybersikkerhet er en styresak. Syv spørsmål styret bør stille seg selv og ledelsen

Av Eli Moe-Helgesen , 22. mars 2017

Hva_er_stake_bilde_Eli_.jpg

Styrearbeid er en spennende, men også en ansvarsfull og krevende oppgave. Vi jobber med å hjelpe mange styrer, både med å evaluere seg selv og støtte i arbeidet med å bedre løse konkrete styreoppgaver. Risikostyring er en av oppgavene styrene selv opplever som mest utfordrende, og ikke minst risiko knyttet til cybersikkerhet.

For landskapet for digitale trusler endrer seg stadig. Hver eneste dag leser vi om norske virksomheter som har vært utsatt for angrep, spionasje og tyveri. Det handler om tap av renomme, store verdier, det binder ressurser og tar ledelsens fokus bort fra viktigere oppgaver. Trusselbildet er tiltagende, og problemet kommer ikke til å gå bort av seg selv. Derfor kan du ikke sikre deg mot alt. Man må rette ressursene riktig, og passe på at det aller viktigste sikres best.

Cybersikkerhet må på styrets bord

Når vi jobber med norske styrer ser det ut til at cybersikkerhet er et tema som i for liten grad blir diskutert av styret. Vi mener cyberrisiko ikke kan håndteres av IT-avdelingen alene. Dette er et tema for styre og ledelse. Styret må følge med på risikobildet, og sikre at virksomheter har riktig fokus og får tilgang på tilstrekkelig med ressurser.

Så hva bør styret gjøre? Basert på vår erfaring har vi samlet syv spørsmål styret bør stille seg selv og administrasjonen:

1. Har styret den informasjonen vi trenger for å forstå det digitale trusselbildet? 

En undersøkelse vi har gjort viser at bare 35% av styremedlemmene er komfortable med den informasjonen de mottar om risikobildet. Vi anbefaler at styret bruker tid med selskapets eksperter på cyber og risiko for å forstå trusselbildet og hvordan virksomheten jobber med å sikre seg.

2. Hvor god er forretningsstrategien og hvor godt er risikotiltakene skrudd sammen for å møte cybertrusler? 

De siste årene ser vi at mange virksomheter har blitt bedre til å jobbe med risiko og risikohåndtering. Styret bør diskutere risiko relatert til cyber som en del av den helhetlige risikostyringen, og forsikre seg om at det er lagt en god strategi for å overvåke, identifisere og håndtere risiko og hendelser.

3. Hvordan beskytter vi sensitiv informasjon som behandles, lagres og overføres av tredjeparter?

Vår årlige cyber-securityundersøkelse viser at andelen sikkerhetsbrudd som oppstår i tilknytning til samhandling med eksterne serviceleverandører er økende. Derfor er det viktig at styret forstår hvordan virksomheten inngår og følger opp avtaler med eksterne.

4. Har vi forsikring?

Det finnes etterhvert cyberforsikring. Er dette et aktuelt produkt for oss, og hva vil polisene dekke?

5. Har virksomheten etablert en god governance-struktur som sikrer at den har kontroll på det aller viktigste?

De enorme datamengdene som genereres hver eneste dag skaper risiko. I dag er det umulig å sikre seg mot alt, men det som er aller viktigst - kronjuvelene - må dere passe på. Styret må forsikre seg om at ledelsen har definert hva som er aller mest kritisk, og forstå hvilke policyer og kontroller som er etablert for å håndtere uønsket risikoeksponering.

6. Hvordan holder virksomheten seg oppdatert om trusselbildet?

Samarbeider dere med noen? Deler dere informasjon om angrep, teknikker og beskyttelse? Lærer dere fra andre? Skurkene ligger garantert foran dere, så lær mest mulig av andres erfaring.

7. Har dere en beredskapsplan som inkluderer hendelser relatert til cyber? Og har dere testen planen?

Sikkerhetsbrudd kan være svært skadelig - både renommemessig og økonomisk. Når vi spør styremedlemmer sier bare 29% at de er komfortable med virksomhetens beredskapsplaner. Styret bør diskutere ledelsens håndtering av hendelser, forstå hvilke kriseplaner som er lagt og hvordan ledelsen jobber for å sikre at planene er effektive den dagen de trengs.

En av kanskje viktigste oppgaven for et styre er å skape og sikre eiernes verdier. Det er lite som kan skade verdier og rennome så mye som et dårlig håndtert cyberangrep. Derfor må styret være på hugget og forsikre seg om at uønsket risiko håndteres så godt som mulig.

Mer om tips og råd til styret finner du i vår Styrebok for 2017. Og ta kontakt om du ønsker en trykket utgave.

Interesseområder: Risikostyring, Eierstyring og selskapsledelse, Informasjonssikkerhet

Dele artikkelen:

Eli Moe-Helgesen

Eli Moe-Helgesen
Jeg heter Eli Moe-Helgesen og jeg er partner i PwC og leder av Risk Advisory Services. Jeg er statsautorisert revisor, og har jobbet med temaer innen styring og kontroll i mer enn 25 år. Norsk næringsliv er i endring. Vi ser at der både privat og offentlig sektor for noen år siden kunne være uformelle og stole på at organisasjonen visste hvordan den skulle håndtere problemstillinger, må man i dag være mer forutsigbar og bedre kontrollert. Den gode nyheten er at alt tyder på at riktig mengde med risikostyring og interne kontroller skaper og sikrer verdier. For det skal ikke være for mye av det gode heller - for mye kontroll skaper byråkrati og ansvarsfraskrivelse. En viktig del av god virksomhetsstyring er å ha et strategisk fokus på samfunnsansvar og rollen man har utover å skape bunnlinje. Har du spørsmål om risikostyring, eierstyring, virksomhetsledelse og samfunnsansvar, ta gjerne kontakt.
[email protected]

Kommentere