Vikten av vd:ns roll i säkerhetsarbetet

För drygt en månad sedan publicerade Accenture rapporten The Cyber-Resilient CEO för att undersöka hur medvetna och självsäkra dagens företagsledare är när gäller det egna bolagets cybersäkerhet. Resultatet visar bland annat att vd:ar är medvetna om de hot cyberkriminalitet utgör mot deras verksamheter, men även att de flesta saknar förtroende för organisationens förmåga att förhindra eller minimera skadan vid attacker.

Åse Holmberg är vd på Sentor sedan drygt 3 år tillbaka. Utöver sin roll som vd sitter hon även med i styrelsen för Svenskt Näringsliv, där cybersäkerhet har seglat upp som en allt hetare fråga. Vi bad henne kommentera undersökningen och dela med sig av sina tips till andra vd:ar som vill arbeta mer med säkerhet.

Vad är dina spontana tankar efter att ha tagit del av rapporten?

- Jag tycker att rapporten påvisar en naivitet i förhållningssättet till cybersäkerhet; man undervärderar risk och övervärderar kostnaden för att minimera riskerna, vilket medför att risken blir stor att man fattar fel beslut som kan få både långtgående och kostsamma konsekvenser. Särskilt bekymrande är att fler än hälften (60 %) svarar att security-by-design, alltså att cybersäkerhet är inbakat i affärsstrategier, tjänster och produkter redan från början, inte är en naturlig praxis. Utöver att själva säkerheten stärks genom att tillämpa ett sådant arbetssätt blir det även mer lönsamt i längden, då de verkliga kostnaderna uppstår först när säkerhetsbrister behöver rättas till i efterhand.

Undersökningen visar bland annat att nästan hälften av vd:arna inte ser cybersäkerhet som en strategisk affärsfråga, utan snarare som punktinsatser som inte kräver kontinuerlig uppmärksamhet. Varför är det ett problem?

- Säkerhet är inte ett plåster - det är ett förebyggande arbete som måste integreras i hela organisationen för att få effekt. Det går heller inte att delegera ett säkerhetstänk till några få utvalda individer och tro att det bygger en resistent verksamhet.

- Därtill råder en uppfattning om att säkerhet är synonymt med compliance - så länge vi efterlever regelverk, så är vi väl okej? Men säkerhet är ju dessvärre ett arbete som aldrig kan ta slut eftersom såväl våra verksamheter som hoten de står inför befinner sig i konstant utveckling. Vill man vara säker måste man alltid ligga steget före, vilket kräver kontinuerligt arbete.

Studien visar att nästan 3 av 4 vd:ar är oroade över sin organisations förmåga att avvärja eller minimera skador på verksamheten till följd av en cyberattack. Vilken roll har vd:n själv i säkerhetsarbetet?

- Som vd är du ju ytterst ansvarig för att säkerställa att verksamheten är rustad för att motverka och hantera cyberhot. Men i det dagliga arbetet handlar det mycket om att bygga en säkerhetskultur. Och en säkerhetskultur - precis som alla kulturer - börjar och slutar hos ledningen. Om inte ledningen tar ansvar och prioriterar säkerhetsfrågor kommer heller inte resten verksamheten göra det.

- Jag skulle även vilja passa på att lyfta CISO:ns roll här. På många företag har CISO:s en i princip omöjlig uppgift, där han eller hon som individ förväntas mitigera de risker som alla på bolaget tillsammans skapar. Det är lite som att gå på en restaurang där servitrisen förväntas snygga till en rätt som inte kocken har gjort bra från början. Säkerheten måste vara införlivat redan från grunden. Med det sagt är det vd:ns uppgift att se till att CISO:n har de resurser och mandat som krävs för att utföra sitt arbete på bästa sätt.

Det här är ju en global studie. Men hur ser din bild av svenska vd:ars kunskap inom cybersäkerhet ut?

- Utifrån min erfarenhet skulle jag säga att studien är representativ även för Sverige. Det jag ser i dialoger med andra vd:ar är att många väldigt snabbt delegerar frågan till någon annan i verksamheten. Fraser som ”säkerhet är jätteviktigt, vi har någon på IT som är ansvarig” tyder på att det inte är ett ämne som inte ligger högst på dagordningen. Den stora svårigheten som jag tror att många fastnar i är synsättet att säkerhet är en teknisk fråga, när det snarare är ett mindset och arbetssätt. Om fler vd:ar skulle börja se det så kanske man skulle kunna avdramatisera komplexiteten och få in det som en del av det affärsmässiga samtalet.

***

Åses tips till dig som är vd och vill bli mer insatt i säkerhet

Sätt säkerhet på din egen och ledningens agenda
När jag klev in som vd var jag långt ifrån en säkerhetsexpert. Men något jag har lärt mig är värdet av att ställa rätt frågor och på så sätt lyckas hålla sig ajour. Man behöver inte kunna allt, men som vd åtminstone se till att avsätta tid i ledningsgruppen för att diskutera säkerhet och beredskap. Då lär man sig också längs vägen.

Involvera din CISO
I det strategiska arbetet är det viktigt att säkerhetsstrategin ligger i linje med affärsstrategin. CISO:n bör därför ha en fast plats i företagets ledningsgrupp, eller åtminstone vara en del av utvecklandet av affärsstrategin.

Säkerställ att rätt kompetens finns på plats
Att driva ett framgångsrikt säkerhetsarbete kräver individer som förstår säkerhet, både rent tekniskt och strategiskt. Det råder dock en stor kompensbrist inom området. Företag som har förmånen att ha säkerhetskompetens inom organisationen kan anse sig lyckligt lottade, men långt ifrån alla har det. Var inte rädd för att ta in extern kompetens om det saknas internt.