Når er din virksomhet trygg?

Når vil din virksomhet være trygg mot cyberhendelser? Mest sannsynlig aldri. Men med god koordinering mellom cybersikkerhet og risikostyring vil en virksomhet kunne bygge motstandsdyktighet mot det som vil kunne skje.                       

Ifølge PwCs styreundersøkelse for 2021 er det kun 34 % av styrer som mener de mottar nyttig rapportering om sikkerhetstilstanden i sin virksomhet. Cyber- og informasjonssikkerhet er erfaringsmessig et tema det kan være krevende å løfte fra å være en ren teknisk eksersis opp til et mer strategisk nivå der det hører hjemme. Det sentrale spørsmålet blir da hvordan virksomheten gjennom god styring på en bedre måte kan belyse og håndtere risiko knyttet til cyber- og informasjonssikkerhet.

Måle og rapportere cyberrisiko

Helhetlige risikobilder et er verktøy for god styring og forventningene om god risikostyring er økende både i privat og offentlig sektor. De interne sikkerhetsmiljøene bør benytte seg av strukturer knyttet til risikostyring som allerede er på plass og bruke konkret målstyring for å enklere kunne presentere cyberrisiko. Dette vil igjen lette dialog mellom fagmiljø og virksomhetens mest sentrale beslutningstagere. 

Under følger noen eksempler og forslag til målstyring som vi mener kan løfte diskusjonen rundt cyber- og informasjonssikkerhet:

• Modenhetsvurdering. Kjenner du til hvordan din virksomhet ligger an målt opp mot krav til god sikkerhet og sammenlignbare virksomheter? Om svaret er nei kan en modenhetsvurdering være et godt sted å starte for å identifisere nåsituasjon, foreta en risikobasert tilnærming til hva som er en ønsket sluttilstand og skissere opp arbeidsstrømmer for å komme seg dit.
• Sikkerhetskultur. Noe av det viktigste en virksomhet kan gjøre er å styrke kunnskapen hos sine ansatte om trusler som kan ramme dem og virksomheten. Ikke glem det menneskelige aspektet - god cybersikkerhet er mye mer enn bare tekniske tiltak. Gode mål til å begynne med kan være fullførte opplæringer og andelen ansatte som gir fra seg påloggingsdetaljer under phishingtester.
• Tredjepartsrisiko. Har du kontroll på dine digitale leverandørkjeder? Vi ser at stadig flere cyberhendelser skjer ved kompromittering av leverandører med tilganger til virksomhetens systemer. Hvor mange av virksomhetens leverandører har man vurdert med sikkerhet for øye? Utgjør noen av dine leverandører en unødvendig stor sikkerhetsrisiko?
• Øvelser. Når var det sist virksomheten øvde på å håndtere en cyberhendelse, eksempelvis et kryptovirusangrep? Det er viktig å involvere større deler av organisasjonen i slike øvelser, ikke kun IT-avdelingen. Øv på å opprettholde normal drift i situasjoner hvor sentrale IT-systemer ikke lenger er tilgjengelig. Å sette seg konkrete mål om jevnlige øvelser og oppfølging av identifiserte svakheter er svært nyttig og vel anvendt tid.

Styret og ledelsens oppgave

Målet med helhetlig risikostyring er at det skal gi ledelse, styret og interessenter en trygghet i at forretningsmål nås. Helhetlig risikostyring er fremtidsrettet og har som mål å identifisere risiko for mulige hendelser og faktorer som kan påvirke virksomheten.

Vi anbefaler at styret og ledelsen i en virksomhet:

• Besitter risikokompetanse og har innsikt i cyber. Styret og toppledelsen må ha risikokompetanse og -forståelse, og evne å se, tenke og forstå hvordan forskjellige trender og situasjoner potensielt kan påvirke akkurat den virksomheten de selv er ansvarlig for. Cyber- og informasjonssikkerhet er en bit av dette - og den blir en stadig viktigere bit.
• Unngår fastlåste tankemønstre i arbeidet med risiko. Et styre må ikke nødvendigvis ha dyp kompetanse på alle fagområder. Men de må være søkende, spørrende og kunne knytte til seg gode eksperter og rådgivere, enten interne eller eksterne, som kan gi dem et best mulig beslutningsgrunnlag for å ivareta sin virksomhets mål. Styret og toppledelse må ikke la seg hemme av induktiv tenkning som låser tankemønstre til å bare se og forstå de truslene som allerede har materialisert seg.

Alle styrer og toppledere som tenker på oppsiderisikoen ved digitalisering og ny teknologi for sin virksomhet bør også tenke på påfølgende nedsiderisiko i form av en cyberhendelse. God risikostyring bidrar til at en virksomhet blir mer fremoverlent og i bedre stand til å takle både små og store kriser.