<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Når er din virksomhet trygg?

‹ Tilbake til artikler

Når vil din virksomhet være trygg mot cyberhendelser? Mest sannsynlig aldri. Men med god koordinering mellom cybersikkerhet og risikostyring vil en virksomhet kunne bygge motstandsdyktighet mot det som vil kunne skje.                       

Ifølge PwCs styreundersøkelse for 2021 er det kun 34 % av styrer som mener de mottar nyttig rapportering om sikkerhetstilstanden i sin virksomhet. Cyber- og informasjonssikkerhet er erfaringsmessig et tema det kan være krevende å løfte fra å være en ren teknisk eksersis opp til et mer strategisk nivå der det hører hjemme. Det sentrale spørsmålet blir da hvordan virksomheten gjennom god styring på en bedre måte kan belyse og håndtere risiko knyttet til cyber- og informasjonssikkerhet.

Måle og rapportere cyberrisiko

Helhetlige risikobilder et er verktøy for god styring og forventningene om god risikostyring er økende både i privat og offentlig sektor. De interne sikkerhetsmiljøene bør benytte seg av strukturer knyttet til risikostyring som allerede er på plass og bruke konkret målstyring for å enklere kunne presentere cyberrisiko. Dette vil igjen lette dialog mellom fagmiljø og virksomhetens mest sentrale beslutningstagere. 

Under følger noen eksempler og forslag til målstyring som vi mener kan løfte diskusjonen rundt cyber- og informasjonssikkerhet:

  • Modenhetsvurdering. Kjenner du til hvordan din virksomhet ligger an målt opp mot krav til god sikkerhet og sammenlignbare virksomheter? Om svaret er nei kan en modenhetsvurdering være et godt sted å starte for å identifisere nåsituasjon, foreta en risikobasert tilnærming til hva som er en ønsket sluttilstand og skissere opp arbeidsstrømmer for å komme seg dit.
  • Sikkerhetskultur. Noe av det viktigste en virksomhet kan gjøre er å styrke kunnskapen hos sine ansatte om trusler som kan ramme dem og virksomheten. Ikke glem det menneskelige aspektet - god cybersikkerhet er mye mer enn bare tekniske tiltak. Gode mål til å begynne med kan være fullførte opplæringer og andelen ansatte som gir fra seg påloggingsdetaljer under phishingtester.
  • Tredjepartsrisiko. Har du kontroll på dine digitale leverandørkjeder? Vi ser at stadig flere cyberhendelser skjer ved kompromittering av leverandører med tilganger til virksomhetens systemer. Hvor mange av virksomhetens leverandører har man vurdert med sikkerhet for øye? Utgjør noen av dine leverandører en unødvendig stor sikkerhetsrisiko?
  • Øvelser. Når var det sist virksomheten øvde på å håndtere en cyberhendelse, eksempelvis et kryptovirusangrep? Det er viktig å involvere større deler av organisasjonen i slike øvelser, ikke kun IT-avdelingen. Øv på å opprettholde normal drift i situasjoner hvor sentrale IT-systemer ikke lenger er tilgjengelig. Å sette seg konkrete mål om jevnlige øvelser og oppfølging av identifiserte svakheter er svært nyttig og vel anvendt tid.

Styret og ledelsens oppgave

Målet med helhetlig risikostyring er at det skal gi ledelse, styret og interessenter en trygghet i at forretningsmål nås. Helhetlig risikostyring er fremtidsrettet og har som mål å identifisere risiko for mulige hendelser og faktorer som kan påvirke virksomheten.

Vi anbefaler at styret og ledelsen i en virksomhet:

  • Besitter risikokompetanse og har innsikt i cyber. Styret og toppledelsen må ha risikokompetanse og -forståelse, og evne å se, tenke og forstå hvordan forskjellige trender og situasjoner potensielt kan påvirke akkurat den virksomheten de selv er ansvarlig for. Cyber- og informasjonssikkerhet er en bit av dette - og den blir en stadig viktigere bit.
  • Unngår fastlåste tankemønstre i arbeidet med risiko. Et styre må ikke nødvendigvis ha dyp kompetanse på alle fagområder. Men de må være søkende, spørrende og kunne knytte til seg gode eksperter og rådgivere, enten interne eller eksterne, som kan gi dem et best mulig beslutningsgrunnlag for å ivareta sin virksomhets mål. Styret og toppledelse må ikke la seg hemme av induktiv tenkning som låser tankemønstre til å bare se og forstå de truslene som allerede har materialisert seg.

Alle styrer og toppledere som tenker på oppsiderisikoen ved digitalisering og ny teknologi for sin virksomhet bør også tenke på påfølgende nedsiderisiko i form av en cyberhendelse. God risikostyring bidrar til at en virksomhet blir mer fremoverlent og i bedre stand til å takle både små og store kriser.

Morten Drægni

Morten Drægni

Jeg heter Morten Drægni og jobber som Senior Manager i PwC Gransking, Compliance og Sikkerhet. Mine hovedarbeidsområder er cyber forensics, informasjonssikkerhet og risikostyring. Jeg er politimann av bakgrunn og har de siste årene jobbet med etterforskning, etterretning og cybersikkerhet i både offentlig og privat sektor. Ta gjerne kontakt med meg dersom du ønsker å vite mer eller om du har noen spørsmål.

Maren Maal

Maren Maal

Jeg heter Maren Maal og jobber som Manager i PwCs Granskingsenhet. Før jeg kom til PwC arbeidet jeg som forsker i fem år ved Forsvarets forskningsinstitutt (FFI). Jeg forsket på ulike temaer knyttet til risiko, spesielt risikovurderingsmetodikk og risikostyring. Risiko er et hett område og har vært svært omdiskutert de siste årene. For norske og internasjonale virksomheter kan en mer bevisst holdning til risiko gi et økt mulighetsrom for å bedre virksomhetsstyring og ledelse. Som en risikonerd synes jeg dette er veldig spennende og viktig og vil derfor blogge jevnlig om dette fremover. Hvis du har synspunkter eller spørsmål, så blir jeg glad for å høre fra deg!

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Unngå feilansettelser med enkle grep

Feilansettelser kan være svært kostbart og ressurskrevende for bedriften. Derfor handler rekrutteringsprosesser ikke bare om å finne den ...

Les artikkelen
Les artikkelen

Slik unngår du bakdører i din bedrift

Hvor mange av de du kjenner har blitt hacket? Kanskje de mistet tilgangen til Instagram-kontoen, spammet venner med linker til tvilsomme ...

Les artikkelen
Les artikkelen

Return of training: læring og forbedring gjennom systematisk oppfølging

Verdien av kriseøvelser (Return of Training) blir størst med øvelser med godt læringsutbytte, og at det mellom øvelsene jobbes systematisk ...

Les artikkelen