Tilbage

Hvordan ser god styring af cybersikkerhed ud?

Tilsyn med cybersikkerhed står højere på dagsordenen end nogensinde før. Tidligere i år forudså Gartner, at 40 % af alle bestyrelser vil have et særligt cybersikkerhedsudvalg i 2025. Det er med god grund. For det første kan den økonomiske virkning af et angreb være enorm. Ifølge tal fra IBM nåede de gennemsnitlige omkostninger ved et databrud op på 4,24 millioner dollars pr. hændelse i 2021 – det højeste i 17 år. Der er også stærke beviser for, at angrebene stiger i kølvandet på pandemien. Ransomware-angreb steg med 93 % alene i de første seks måneder af 2021.

3.november 2022
Skrevet af Admincontrol

Forebyggelse af angreb fra hackere, offentlige myndigheder og terrorister bliver også i stigende grad betragtet som en vigtig del af den ’sociale’ komponent i ESG (miljøforhold, socialt ansvar og virksomhedsledelse) – ikke mindst på grund af den større indvirkning, et cybersikkerhedsangreb kan have på samfund og kunder. Hvis man driver en bank, kan et angreb have en alvorlig indvirkning på offentlighedens adgang til vigtige finansielle tjenester. Hvis man driver en sundhedsorganisation, kan et brud føre til, at fortrolige personlige data bliver stjålet og have stor indflydelse på levering af vigtige tjenester. Hvis man driver en energivirksomhed, kan et angreb, sådan som det skete i USA tidligere på året , ødelægge de tjenester, der driver vores liv i dagligdagen.

Med den slags hændelser, der bliver stadigt hyppigere år for år, er det ikke nogen overraskelse, at effektiv cybersikkerhed i stigende grad betragtes som en central indikator for en virksomheds modstandsdygtighed og sociale ansvar. Men hvordan ser god styring af cybersikkerhed ud? Og hvordan kan bestyrelser vise, at det ikke kun bliver ved snakken med hensyn til sikkerhed, og at de har planer for alle eventualiteter?

Minimumkrav

Som udgangspunkt bør nutidens bestyrelser kunne demonstrere over for partnere, reguleringsorganer og deres egen organisation, at de har: 

  • Forståelse af cybersikkerhedstrusler på individuelt direktørniveau
  • Stærkt overblik over en robust og velgennemtænkt strategi for cybersikkerhed 
  • Planer for gendannelse efter nedbrud med uforudsete nødsituationer til at hjælpe tjenester med at komme hurtigt i gang igen 
  • Bevis for, at de har gjort en indsats for at rekruttere eksperter og rådgivere inden for cybersikkerhed 
  • Processer til at sikre, at cyberrisici integreres med virksomhedsrisici

Alle disse elementer er afgørende, hvis bestyrelserne ønsker at imødekomme krav fra eksterne overvågningsorganer og beskytte deres organisation mod potentielt katastrofale trusler.

Dette er dog ikke en statisk situation. Det, som bestyrelserne også skal vise er, at de er agile nok til at tilpasse deres strategier til skiftende forhold, nye trusler samt ændringer i arbejdsmønstre, der har potentiale til at ændre sikkerhedslandskabet dramatisk.

Alle disse elementer er afgørende, hvis bestyrelserne ønsker at imødekomme krav fra eksterne overvågningsorganer og beskytte deres organisation mod potentielt katastrofale trusler.

Effekten af pandemien og stigningen i hybridarbejdet

Læringerne fra Covid 19 udgør et perfekt eksempel. I den seneste tid er de fleste organisationer i vidt omfang begyndt at anvende hybridarbejde som reaktion på pandemien. Dette har på mange måder været et positivt træk og har bidraget til at øge produktiviteten og medarbejdertilfredsheden. Det er dog også klart, at hybridarbejde udsætter organisationer for øget risiko for sikkerhedsbrud. Problemer opstår, når brugere skifter mellem sikre og usikre netværk, ikke følger it-sikkerhedspolitikker derhjemme, bruger svage adgangskoder, bruger uautoriserede personlige enheder, tilslutter arbejds-pc’er til mobile enheder i hjemmet og bringer malware ind på kontoret, når de logger på virksomhedens netværk igen.

En nylig undersøgelse fra HP Wolf Security viste, at 83 % af de globale it-teams mener, at dette har skabt en ’tikkende tidsbombe’ for brud på virksomhedens netværk. 

Konsekvensen af det er, at bestyrelser nu skal vise, at de har planer på plads for at beskytte mod nye sårbarheder. De skal især vise, at deres organisationer har reviderede strategier, der tager højde for nye trusler, især dem, der er relateret til ransomware, e-mailbaserede trusler og angreb på klientsiden, som alle er steget dramatisk efter starten på fjernarbejde.

De skal også vise, at de bidrager med investeringer i systemer, der er nødvendige for at beskytte en hybrid arbejdsstyrke – herunder sikre VPN-forbindelser, multifaktorgodkendelse og overvågning af slutpunkter. Lige så vigtigt er det at have en strategi for at ændre virksomhedens kultur. Dette bør omfatte planer for at uddanne og træne alle medarbejdere i de specifikke trusler i forbindelse med hybridarbejde og i sidste ende skabe en cybersikkerhedsbevidst kultur, der passer til de moderne, hurtigt skiftende tider.

Yderligere læsning 

At Admincontrol we have recently been looking at these issues in Hos Admincontrol har vi for nylig beskæftiget os indgående med disse spørgsmål og udarbejdet en håndbog for bestyrelser om hvordan man styrer indvirkningen af hybridarbejde på cybersikkerhed:

New call-to-action

Vi har også udviklet en infografik, der opsummerer 7 måder, hvorpå bestyrelser kan vejlede organisationer i sikkert hybridarbejde.

Vi håber, du finder oplysningerne nyttige, efterhånden som du fortsætter med at udvikle og tilpasse din strategi for cybersikkerhed.