8 jun. 2021
Adobe-Stock-306383932

Hvordan øges topledelsens fokus og interesse for cybersikkerhed?

Af EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

8 jun. 2021
Relaterede emner Cybersecurity

Ikke mange organisationer kan afvise, at it i dag udgør kernen i forretningsmodellen. Fokus på cybersikkerhed skal derfor følge med.

Opsummering: 
  • Forstå topledelses prioriteter samt risikoappetit (Fra ”Best in class” til ”Vi tager chancen, det er jo gået meget godt indtil nu”-tilgange).
  • Arbejd efter en risikobaseret tilgang og oversætter identificerede risici til forretningsorienterede scenarier. 
  • Benyt eventuelt incidentresponser som illustrative og forretningsnære cases i rapporteringen.
  • Foretag løbende modenhedsvurderinger, der kan vise retning, ambition og progression på området og danne grundlag for dialog.

Med it’s voksende kritikalitet, vigtighed og kompleksitet udgør it kernen i de fleste forretningsmodeller, der i disse år oplever øgede it-sikkerhedsmæssige compliance-krav. Der går heller ikke mange dage imellem, at man i aviser kan læse om cyberincidents og fx ransomware-angreb, der også rammer denne sektor.

Med it-brug følger cybersikkerhed. Tidligere var cybersikkerhed decentralt håndteret og begrænset til den datidige forståelse af området som værende af primært teknisk karakter, men må nu håndteres som et samarbejde mellem forretningsområder, hvis effektivitet er stærkt afhængig af synergien mellem it-anvendelse og forståelsen af, at mennesker spiller en stor rolle i forbindelse med cybersikkerheden.

Alligevel er det EY’s erfaring, at cybersikkerhed i langt de fleste tilfælde aldrig kommer længere end til at være et ansvar hovedsageligt pålagt og udført af it-afdelingen. 

At cybersikkerhed kun styres og operationaliseres i it-afdelingen kan resultere i, at igangsatte sikkerhedsinitiativer ikke får tilstrækkelig opmærksomhed og opbakning fra de forretningsområder og processer, som initiativerne er tiltænkt at skulle understøtte og/eller beskytte. Manglende opmærksomhed og opbakning medfører ofte, at initiativernes potentiale ikke realiseres eller formår at blive en dynamisk og integreret proces i organisationen.

Der er forskellige grunde til, at organisationer ikke lykkes med at bevæge sig væk fra at arbejde med at forstå cybersikkerhed som værende udelukkende af teknisk karakter.

I denne artikel belyses én af grundene – nemlig den manglende forståelse, involvering og interesse for cybersikkerhed hos topledelsen.

Vi præsenterer derfor fire praksisorienterede anbefalinger til, hvordan man kan øge forståelsen og interessen hos sin topledelse, så den tilstrækkelige og nødvendige opmærksomhed er til stede.

Anbefalingerne er udformet på baggrund af EY’s egne erfaringer fra tidligere projekter og vores indblik i, hvordan og hvor godt incidents håndteres alt efter topledelsens forudgående fokus.

Hvorfor involvering og interesse fra topledelsen er essentiel for cybersikkerhed

Mange topledelser forstår vigtigheden af at praktisere effektiv cybersikkerhed og er bevidste om de konsekvenser, det kan have for en organisation ikke at give området opmærksomhed (omdømme, troværdighed og finansielle tab ved produktionstab og omkostninger til recovery eller fx bøder).

Det er dog de færreste organisationer, som har kompetencer med fyldestgørende viden om cybersikkerhed siddende på topledelsesniveau, og området kompliceres yderligere, når allokerede budgetter og ressourcer til cybersikkerhed forsøges oversat til forretningsmæssig værdi, hvilket udfordrer interessen i området. Det er lidt som at have forsikringer.

Forståelse af topledelsens prioriteter samt risikoappetit

Der kan eksistere forskellige opfattelser af, hvad topledere og forretningsområder anser som værende organisationens mest kritiske system(er) og/eller proces(ser), og hvor meget sikkerhed disse bør pakkes ind i. Selvom sikkerhed er vigtig, kan det også begrænse, forsinke og/eller forhindre organisationer i at realisere udviklingspotentialer og finansielle gevinster. Fx kunne erhvervelse af et nyt cloud-baseret målesystem udviklet af en skalérbar startup med vage sikkerhedsforanstaltninger måske ikke nødvendigvis være det mest oplagte valg set fra et cybersikkerhedsperspektiv. På den anden side kunne målesystemet måske have en holdbar business case for organisationen, som kan have en positiv effekt på bundlinjen.

Derfor er det vigtigt, at den ansvarlige for cybersikkerhed bruger tid på at forstå topledelses prioriteter og risikoappetit, så sikkerhedsinitiativer går ind og understøtter og ikke modarbejder forretningsmål.

Det anbefales, at prioritet og risikoappetit afdækkes ved uformelle dialoger med alle personer fra topledelsen. Kaffemøder af 30 minutters varighed, hvor den ansvarlige for cybersikkerhed formår at stille de helt rigtige spørgsmål, er rigtig godt givet ud i forhold til at skabe et solidt grundlag samt retning for den fremadrettede planlægning og ambition for området.

Identificerede risici oversat til forretningsorienterede scenarier

Når man som organisation beslutter sig for at arbejde mere målrettet med cybersikkerhed, anbefaler vi for det meste, at der tages en risikobaseret tilgang, hvor man løbende identificerer de risici, som eksisterer og afspejler den kontekst, som organisationen befinder sig i, reflekteret i fx både industri, organisation og størrelse.

Risikovurderinger kan oftest synes meget tekniske, hvorfor det er vigtigt, at de identificerede risici og vurderinger oversættes til forretningssprog og præsenteres i scenarier, som topledelsen kan relatere til.

Ofte ses, at risikovurderinger fokuserer på driftsmæssige hændelser og ikke sikkerhedsmæssige hændelser, selvom der kan være nær sammenhæng.

Det kunne fx være, at man identificerer en øget risiko i sit telefonisystem til brug for kundesupport. En eventuel hændelse heri kunne medføre, at systemet ville lukke ned på ubestemt tid, og kunder derfor ikke ville kunne komme i kontakt med organisationen. Det vil have en driftsmæssig effekt, men ikke nødvendigvis en sikkerhedsmæssig betydning. Men, hvis nedetiden betyder, at kunder tager kontrakt via andre usikre kanaler og fx sender persondata via usikre e-mails, kan en sikkerhedsmæssig hændelse opstå.

I sådanne situationer er det vigtigt at tænke på de sikkerhedsmæssige konsekvenser, det vil have for organisationen, hvis kunderne ikke kan komme igennem i timer, dage eller uger.

Incidentrespons som illustrative og forretningsnære cases

Incidentrespons har i cybersikkerhedsekspertkredse fået kaldenavnet ”fattigmandssikkerhed”. Det er som regel det første sikkerhedsinitiativ, en organisation etablerer. Selvom incidentrespons kan anses som værende en reaktiv proces, kan man lære og bruge meget af det, der sætter sig i filteret til at skabe bevidsthed over for topledelsen gennem specifikke og forretningsnære cases. En simpel illustrativ præsentation, hvor man viser antallet af alarmer, der er gået, hvilke alarmer man har reageret på, og hvilke alarmer der blev kritiske, er information, der ofte fanger opmærksomheden hos ledelsen og etablerer en god dialog.

Det bør ikke overdramatiseres, og man skal ikke rapportere, hvis der ikke er noget konkret at vise, men det er en nem måde at komme i gang på.

Modenhedsvurderinger som værktøj til at vise retning, ambition og progression på området

Cybersikkerhedsmodenhedsvurderinger er designet til at måle og benchmarke den nuværende modenhed på relevante og udvalgte sikkerhedsdomæner samt skabe et billede af, hvordan modenheden udvikler sig i takt med et sikkerhedsforløb og/eller implementering af et eller flere sikkerhedsinitiativer i en organisation.

Modenhedsvurderingen kan måle nuværende modenhed og sætte fremtidige målsætninger og dermed være af dynamisk format, og EY har gode erfaringer med at bruge værktøjet som en kommunikations- og dialogramme gennem længerevarende eller omfattende sikkerhedsprojekter, idet det visuelt viser fremgang, sikrer alignment på tværs af involverede parter, samt hvordan en organisation modenhedsmæssigt bør ligge i forhold til sammenlignelige organisationer.

Samtidig giver vurderingen mulighed for at implementere en målbar KPI på it-sikkerhedsområdet, som delvist kan bidrage med et estimat, som ellers er svært at give ved implementering af sikkerhedsinitiativer.

Værktøjets præcise og målbare resultater er noget, topledelsen kan forholde sig til, og efter implementering af et initiativ eller et længerevarende projektforløb kan man benytte resultaterne fra modenhedsvurderingen til at evaluere og planlægge et videre forløb med sikkerhedsarbejdet og definere ambitionerne herfor.

Modenhedsvurderingens visualisering samt forslag til konkrete anbefalinger til tiltag kan fremme en fælles forståelse for sikkerhedsarbejdet og specielt for de dele af forretningen, der indgår som en del af sikkerhedsarbejdet, men ikke nødvendigvis besidder kernekompetencer eller generel viden inden for it-sikkerhed. Modenhedsvurderinger forudsætter, at interne ressourcer er tilgængelige for interviews (typisk af to-tre timers varighed) og særligt gerne ressourcer med indsigt i nuværende initiativer og status på henholdsvis it-sikkerhed og databeskyttelse. Modenhedsvurderinger er baseret på godkendte standarder for it-sikkerhed, herunder blandt andet NIST, ISO27000-serien og COBIT.

Domæner, der måles på, kan fx være adgangsstyring, asset management, awareness, leverandørstyring (og disses adgang til jeres systemer og data), responsplanlægning, backup, mitigering af sårbarheder, arkitektur, governance m.m.

Kontakt:
Hvis du har kommentarer eller lyst til uforpligtende at drøfte, hvordan I som organisation og/eller ansvarshavende for cyberområdet kan komme i gang med at involvere jeres topledelse i sikkerhedsarbejdet, er I velkommen til at kontakte: 

Henriette Brandstrup, Senior Manager, tlf. tlf. 2529 3543
Camilla P. Røpke, Konsulent, tlf. tlf. 2529 4431

 

Sammendrag

Øget fokus på cybersikkerhed hos topledelsen kan skabes på forskellige måder. Der er fire tilgange, der er nemme at iværksætte og har god effekt - forståelse af topledelsens prioriteter samt risikoappetit, Identificerede risici oversat til forretningsorienterede scenarier, Incidentrespons som illustrative og forretningsnære cases og Modenhedsvurderinger som værktøj til at vise retning, ambition og progression på området.

Om denne artikel

Af EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

Related topics Cybersecurity