I dagens globale økonomi, hvor teknologisk innovasjon er en sterk forretningsdriver, har cybersikkerhet blitt mye mer enn et teknisk anliggende. Cybersikkerhet i dag er forretningskritisk og dermed et ansvar for ledelsen. Toppledere er ikke bare ansvarlige for topp- og bunnlinje, men for virksomhetens sikkerhet, integritet og således dens omdømme også.
En av de største cybertruslene de siste årene har vært løsepengevirus. Løsepengevirus, eller ransomware på engelsk, er skadelig programvare som krypterer offerets filer, låser dem, for så å kreve betaling, gjerne i kryptovaluta som Bitcoin, for å gi tilgang til filene igjen. Slike angrep kan raskt lamme hele virksomheten og koste betydelige summer for å få filene gjenopprettet. Og da er kostnadene relatert til skaden på virksomhetens omdømme og tillit holdt utenfor.
Det kan være fristende for mange ledere å satse på at dette er en form for cybertrussel som kan løses med teknologi. Sannheten er dessverre mer komplisert enn som så. En forskningsartikkel fra 2021, som handler om innvirkningen av menneskelige sårbarheter på cybersikkerhet, konkluderte med at «…mer enn 39 prosent av sikkerhetsrisikoer er relatert til menneskefaktoren, og 95 prosent av vellykkede cyberangrep skyldes menneskelig feil... Hovedutfordringen med den menneskelige faktoren når det kommer til cybersikkerhet, handler om den manglende bevisstheten om cybertrusler fra brukerne».
Les også: Tre tips som sikrer deg mot cyberangrep - ledernytt.no
Konklusjonen påpeker behovet for å se på cybersikkerhet som en integrert del av virksomhetskulturen. At det blant annet handler om mye mer enn å innføre vanlig opplæring med periodiske påminnelser og treningsprogrammer. I tillegg til de generelle tiltakene, må ledelsen anerkjenne at noen roller krever målrettet og spesialisert opplæring. Blant annet bør økonomi- og HR-personell som håndterer sensitiv informasjon, ha en dypere forståelse av potensielle cybertrusler.
I tillegg er det viktig å anerkjenne at teknologien og truslene den bringer med seg er i konstant endring. Derfor må ledelsen også legge til rette for livslang læring, i form av praktiske øvelser, som for eksempel å ta i bruk simuleringsverktøy, men ikke minst ved hjelp av ekstern ekspertise, som sky-tilbydere og sikkerhetsleverandører, som kan tilrettelegge for spesialisert trening.
Men opplæring og livslang læring er ikke nok i seg selv. Dagens ledere må også sørge for jevnlig testing og validering av cybersikkerhets-tiltakene. Dette kan involvere såkalte «red team»-tester, hvor ekspertgrupper prøver å infiltrere nettverket for å simulere hva angripere ville gjøre, eller tredjeparts vurderinger gjennom erfarne cybersikkerhetsleverandører. Til syvende og sist er det avgjørende at dagens ledere evner å tilpasse tilnærmingen til cybersikkerhet basert på eget risikonivå. Det innebærer en klar forståelse av hvor sårbarhetene ligger og hvilke sårbarheter som utgjør de mest truende risikoene.
Konklusjonen gir seg selv egentlig. Cybersikkerhet handler ikke om teknologi alene. Det handler også om mennesker, kultur, kunnskap, og testing. Som ledere i både store og små norske virksomheter, er det ekstremt viktig at cybersikkerheten sees på som en integrert del av forretningsstrategien. Det innebærer en helhetlig tilnærming som fremmer livslang læring og kontinuerlig validering av cybersikkerhetsstrategien.
Det er vår plikt som ledere å sikre at virksomhetskulturen ikke bare fremmer innovasjon og vekst, men også sikkerhet og integritet. I en verden der cybertruslene er i stadig endring, bør det være en like stor selvfølge at tilnærmingen til cybersikkerhet er like dynamisk. Det er kun når ledelsen aksepterer denne realiteten at virksomheten vil bli tilstrekkelig rustet til å oppdage, vurdere og avverge cybertruslene som lurer rundt hvert eneste hjørne.
Les også: En digital transformasjon krever samspill med de ansatte - ledernytt.no
Tekst: Karianne Myrvold, kommunikasjonssjef i Trend Micro. Foto: Privat
