Er du en toppleder som gambler?

Denne saken har tidligere vært publisert på Ledernytt.

For bare noen år siden kunne jeg lese frykten i øynene på sidemannen under enhver form for sosial tilstelning når jeg fortalte at jeg jobbet med IT-sikkerhet. Men de siste årene har denne reaksjonen snudd til åpen interesse og engasjert dialog, riktignok først og fremst når det gjelder folks private befatning med teknologi.

Innenfor nærings- og organisasjonslivet har vi derimot en vei å gå. Men jeg er 100 prosent sikker på at vi etter hvert som IT-sikkerhetsevangelistene fra både offentlig- og privat sektor får større og større tilhørerskare, så vil vi også oppnå å få øret til virksomhetsledere og styrer i de fleste virksomheter.

Reelle cyberangrep mot store og kjente selskaper, som det Hydro opplevde for noen uker siden, vil nok trolig også føre til at flere får øynene opp for hva deres virksomhet kan bli utsatt for.

Alvorlige sikkerhetsbrudd

Selv om omfanget av et angrep sjelden er like stort som det som rammet Hydro, uttalte direktør Jack Fischer Eriksen i Næringslivets Sikkerhetsråd til DN i etterkant av angrepet at cyberangrep mot norske virksomheter er «et stort, stort problem».

Fischer Eriksen viste også til Mørketallsundersøkelsen 2018, som avdekket at 40 prosent av de 1500 norske bedriftene som ble intervjuet hadde hatt ett eller flere alvorlige sikkerhetsbrudd i løpet av det siste året.

Men hvem er det egentlig som står som ansvarlig for å ha systemer og rutiner på plass for å sikre virksomheten best mulig mot cyberangrep?

Kan ikke delegeres bort

Jeg møter ofte IT-sjefer i ulike virksomheter som ønsker hjelp til å få forankret sikkerhetsarbeidet hos den øverste ledelsen. Situasjonen er faktisk slik at de som blir holdt personlig ansvarlig dersom noe skjer ofte er dem som er lengst unna å forstå hva IT-sikkerhet er, og hvilke lover og regler som gjelder.

 

Error loading Partial View script (file: ~/Views/MacroPartials/Quote.cshtml)

 

Min opplevelse er at mange ledere gjerne snakker om GDPR, personopplysninger, sikkerhetsloven, cyberforsikringer og så videre, uten nødvendigvis å vite helt hva de forskjellige begrepene innebærer eller betyr for virksomheten. Ei heller at man kan bli strafferettslig ansvarlig og kanskje ender opp med å måtte selge både hytta i Kragerø og i Hemsedal fordi man ikke hadde satt seg inn i regulativene og bevilget tilstrekkelig med midler til IT-avdelingen, slik at denne kunne implementere verktøy og rutiner tilpasset trusselbildet og myndighetenes krav.

Å ha et bevisst forhold til følgende begreper bør derfor være et minimum for en daglig leder eller et styremedlem i en virksomhet

• Hva er en personopplysning? Datatilsynet definerer dette på en god måte her.
• Hva er GDPR?GDPR er det nye personvernregelverket som trådte i kraft i 2018. Informasjon om hvilke plikter en virksomhet som behandler personopplysninger har finner du her. Og har du en virksomhet og er usikker på hvor du skal starte arbeidet med å følge personopplysningsloven, så finner du Datatilsynets sjekkliste
• Hva er sikkerhetsloven?

Den nye sikkerhetsloven trådte i kraft fra 1. januar 2019. Som en kort innføring har Nasjonal Sikkerhetsmyndighet (NSM) laget et e-læringskurs som tar for seg de aller viktigste punktene i den nye sikkerhetsloven. Og hva den nye sikkerhetsloven betyr for ledelsens personlige ansvar er forbilledlig beskrevet i denne artikkelen.

Stor påvirkning

Én ting er å kjenne til begrepene over, en annen er å ta de ubehagelige spørsmålene og formaningene som ofte kommer fra IT-avdelingen på alvor, selv om jeg av erfaring vet at mange ledere kanskje opplever dette som «unødig mas».

IT-avdelingen og spesielt de som jobber med IT-sikkerhet i en virksomhet er som regel de som må bruke tid på å sette seg inn i reguleringer og lovverk som treffer virksomhetene. De blir daglig kontaktet av en kommersiell bransje som selger IT-sikkerhetsutstyr og som promoterer sine løsninger knyttet opp mot myndighetens reguleringer.

IT-sjefer er generelt meget oppegående personer. De lytter som regel både til eksperter fra privat næringsliv og fra det offentlige, som uttaler seg om trusselbildet. Rådene disse kommer med har rett og slett stor påvirkning på hvordan IT-avdelingen må tilpasse både verktøy, planer og design for å imøtekomme og prøve å ivareta virksomhetens verdier i tråd med et sterkt økende trusselbilde –kombinert med et nytt lovverk.

Det er alvor

I mine øyne er de utfordringene en IT-avdeling i en virksomhet møter på derfor like viktige for ledelsen å lytte til som de utfordringene som en juridisk avdeling eller virksomhetens revisorer peker på. Dessverre er det ikke slik i mange virksomheter i dag.

Så er det jo lov til å håpe på flere ledere forstår alvoret, og at et større fokus på IT-sikkerhet presses frem, etter hvert som IT-sikkerhetsrelaterte hendelser fører til flere bøter, større økonomiske tap, dramatiske aksjekursfall og tap av omdømme.

Er du et styremedlem eller en bedriftsleder som ikke engasjerer deg personlig i virksomhetens IT-sikkerhet, så gambler du både med virksomhetens og din egen fremtid.

Inntil skrivelysten treffer meg igjen kan jeg følges på Twitter @TTmmernes, der jeg fortløpende deler dagsferske IT-sikkerhetsnyheter og bransjerelatert stoff😊