Cybersikkerhed er blevet et bestyrelsesanliggende. NIS2 og tilsvarende regulering har sat personligt ansvar på direktion og bestyrelse, og det betyder at spørgsmålet om tilsyn med sikkerheden ikke længere kan parkeres i IT-afdelingen.
Problemet er, at de færreste bestyrelser har en naturlig tilgang til at tilse cybersikkerhed. Regnskabet og revisionen har årtiers konventioner. Sikkerheden har ikke. Resultatet bliver ofte en kvartalsvis gennemgang af en lang teknisk rapport, som ingen i lokalet rigtig forstår dybden af.
Tre spørgsmål kan ændre det. Ikke fordi de er teknisk avancerede, men fordi de tvinger organisationen til at svare på det, der reelt betyder noget.
1. Hvad er vores tre største risici, og hvordan ved vi det?
Det er let at få serveret en liste over 47 potentielle trusler. Det er meget sværere at få et klart svar på, hvilke tre risici der reelt kan slå forretningen ud, og hvordan organisationen har konkluderet netop dét. Et godt svar inkluderer en metode, ikke bare en konklusion: “Vi har gennemgået vores kritiske processer, identificeret afhængigheder, vurderet sandsynlighed og konsekvens og de tre største er X, Y, Z.”
Hvis svaret lyder som en produktliste (“ransomware, phishing, DDoS”), er risikovurderingen ikke lavet ordentligt.
2. Hvis det går galt i morgen, hvordan ser de første 24 timer ud?
Et cyberangreb er en ledelseskrise, ikke en IT-hændelse. Ledelsen skal vide hvem der beslutter hvad, hvornår man kontakter tilsynet, hvordan man kommunikerer med kunder og presse, og hvem der tager sig af de praktiske ting mens tekniske folk kæmper med genopretning.
Hvis organisationen ikke har afprøvet dette i en tabletop exercise inden for det sidste år, er svaret sandsynligvis “vi finder ud af det når det sker.” Det er ikke et godt svar.
3. Hvem har det på deres bord og har de ressourcerne til det?
Sikkerhed skal ejes af nogen med mandat og tid. “Alle” ejer ingenting. I mange organisationer hviler sikkerhedsansvaret på en IT-chef, der også har drift, udvikling og strategi på bordet. Det betyder at sikkerhed bliver det, der falder fra først, når noget haster.
Bestyrelsen bør vide hvem ejeren er, hvor meget af rollen der er reelt dedikeret, og om vedkommende har den faglige tyngde til at tale direkte med ledelsen og udfordre prioriteringer.
Afslutningsvis
De her spørgsmål er ikke et tilsyn, de er en samtalestarter. Svaret skal ikke være perfekt første gang. Men hvis man stiller dem regelmæssigt, vil organisationen med tiden levere bedre og bedre svar, fordi den har lært at tænke i de baner.
Det er i virkeligheden kernen i bestyrelsesarbejdet med cybersikkerhed: ikke at vide alt, men at stille spørgsmålene der skaber modenhed.
Læs om vores bestyrelsesarbejde