Därför bör ledningsgruppen prioritera cybersäkerhet
Av Emelie Werme
I takt med digitaliseringen blir cybersäkerhet allt viktigare. Cybersäkerheten är dock inte så högt upp på dagordningen som den bör vara, det menar Advenica.
De möjliga attackvägarna in till den egna IT-infrastrukturen är allt fler. Bolag bör därför säkerställa att de gör vad de kan för att undvika en attack.
Advenica har gjort en lista på hur exempelvis bolagets CISO ska gå till väga för att öka ledningens engagemang.
Advenicas lista:
1. Analysera riskerna
För att ni ska kunna göra rätt prioriteringar i säkerhetsarbetet behövs en riskanalys – en säkerhetsskyddsanalys. Där fastställs vilka som är verksamhetens skyddsvärden, vilka konsekvenser som kan uppstå om dessa skyddsvärden blir attackerade, vad som är hotet och vilka sårbarheter som finns. Baserat på detta kan man sedan föreslå lämpliga skyddsåtgärder! Genom att ställa dig ett antal frågor kan du få fram ett underlag till en säkerhetsskyddsanalys som gör att du kan vara väldigt konkret när du presenterar för ledningen eller IT-chefen.
Det kan också vara så att ni måste uppfylla säkerhetsskyddslagens krav. Säkerhetsskyddslagen (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Lagen gäller även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem. Omfattas ni av denna lag har du ett solklart argument till varför ni måste prioritera er cybersäkerhet.
2. Förklara konsekvenserna
Givetvis måste du berätta om vad konsekvenserna kan bli om ni som bolag försummar cybersäkerheten. Det finns flera kända fall av ransomeware-attacker, såsom Maersk-caset. Men ta gärna med mer närliggande exempel utifrån din analys. Om du till exempel har upptäckt att ni har brister i mjukvaruuppdateringarna så är det mer kommunikativt och övertygande att säga att ”en hacker kan kopiera hela lönelistan och lägga ut den på internet” än att prata om att ett flertal säkerhetsuppdateringar behöver göras. Anpassa alltså konsekvensscenarion utefter er verksamhet och vad ni behöver skydda!
3. Visa hur ni kan spara pengar
Ett motargument du kan få är: ”Men kostar det inte en hel del att införa ett strukturerat arbetssätt med informationssäkerhet?” Detta är något du snabbt kan svara på genom att förklara att alternativkostnaden vid en attack oftast är mycket högre än investeringen som behövs för högre säkerhet. Med ett ständigt ökande antal attacker är risken för att drabbas förhållandevis hög. Att inte investera i sin cybersäkerhet innebär därför egentligen att man som företag, och ledning, tar en oerhört stor finansiell risk. Fråga ledningen om de verkligen vill ta den risken?
4. Lyft fram fördelarna
Det är bra om ledningen förknippar cybersäkerhet med något positivt och okomplicerat. Därför är det viktigt att du avslutar argumentationen med att förklara att ett systematiskt cybersäkerhetsarbete gör att ni kan undvika negativ publicitet, informationsläckage, driftstopp – ni kan helt enkelt undvika flera risker som skulle kunna leda till att ni förlorar affärer.
En annan positiv effekt av strukturerat cybersäkerhetsarbete är att medarbetarna får tillgång till rätt information vid rätt tidpunkt, vilket ofta höjer effektiviteten. Genom att betona dessa och andra fördelar med ett strukturerat cybersäkerhetsarbete blir det enklare att säkra ledningens engagemang.