Sikker nok?

Hvorfor i alverden skal ledere interessere sig for it-sikkerhed?

[fa icon="calendar"] 18. februar 2015 / af Lars Neupart

Du skal involvere dig i sikkerhed fordi sikkerhed betyder noget for jeres kunder og fordi cyberangreb og sikkerhedshændelser er begyndt at ske for alle slags virksomheder. CSC, Nets, IBM, Terma, Novozymes, Erhvervsministeriet m.fl. er eksempler på virksomheder i Danmark, som man forventede eller håbede var bedre beskyttet end de faktisk var. It-sikkerhed er i den grad kommet på dagsordenen i 2014, både i virksomhederne og i medierne.

Jeres kunder - uanset om I sælger direkte til forbrugere eller til virksomheder, interesserer sig nu for emnet. Derfor bør du både som leder og topleder interessere dig for om jeres organisation er godt nok forberedt på et større cyberangreb eller et nedbrud. Og det er vel i sig selv argumentation nok! Men der er flere gode grunde, som jeg vil nævne for dig.

Image og indtjening:

I har måske brugt årevis på langsom, men sikker opbygning af troværdigheden af jeres brand(s). I ønsker at jeres kunder kan have tillid til jer. En sikkerhedshændelse kan på kort tid reducere den troværdighed, den tillid, I har opbygget  i et omfang, så selv de bedste (eller dyreste) image-kampagner ikke vil kunne rette op på det.

Udgifter:

Læg hertil at det koster jer enorme summer, når I skal håndtere et stort sikkerhedsbrud. Både undervejs i hændelsen og efterfølgende til efterforskning, oprydning og genetablering. Tyveri af forretningshemmeligheder og/eller immaterielle rettigheder samt industrispionage kan selvsagt være dyrt - og ligefrem en trussel mod nogle virksomhedens eksistens. Efterfølgende vil det sikkert vise sig at flere investeringer i forebyggende sikkerhed havde givet god mening, også økonomisk. Og på grund af udviklingen i trusselsbilledet vil det også fremadrettet være en god investering.

Lovgivning:

Der er lovmæssige krav til jer, om at I skal have god nok it-sikkerhed. Tænk bare på de nuværende og kommende persondatalove. I den kommende EU persondatalov (en forordning), der forventes at blive vedtaget så den gælder i alle EU-lande, skal virksomheder betale bøder på måske op til 5% af deres omsætning for databrud. Der er omfattende krav om at berørte parter adviseres (Data breach notification), hvilket både er dyrt og vanskeligt at udføre. Læg hertil en række branchespecifikke krav; fx at finansielle virksomheder skal efterleve Finanstilsynets krav til it-sikkerhed, krav til energi-sektor, til sundhedsektoren og at statslige virksomheder skal følge ISO 27001-standarden.

Governance-krav:

Selskabsloven kræver 1) at ledelsen etablerer fornødne procedurer for risikostyring og interne kontroller, 2) at bestyrelsen tager stilling til strategiske og forretningsmæssige risici og 3) at en ledelse som uagtsomt har tilføjet selskabet skade, skal erstatte skaden.  Med andre ord er her endnu en række lovgivningsmæssige årsager til at interessere sig for informationssikkerhed.

Revision:

Du tilstræber nok også, at jeres revision bliver tilfreds med det meste af alt der måtte stå på de lange revisionsvejledninger. Jeres it-sikkerhed bliver også revideret. Og uagtet at nogle revisionshuse har en tvivlsom dobbeltrolle (da de samtidigt tilbyder en bred vifte af både udførende og rådgivende konsulentydelser inden for it-sikkerhed), så betaler det sig for jer at forberede jer proaktivt på revisionen. Det skal være nemt for jer at dokumentere, at I har styr på jeres informationssikkerhed.

Men hvad skal du som topleder foretage dig, udover at interessere dig for emnet? Det er nemt: Du skal A) kommunikere i din organisation at sikkerhed er vigtigt, at det er en forudsætning for jeres forretningsaktiviteter, og B) du skal undersøge om I har afsat tilstrækkelige økonomiske og menneskelige ressourcer i jeres organisation til at håndtere den daglige, praktiske styring af jeres informationssikkerhed.

Hvis du selv vil stikke et spadestik dybere, anbefaler jeg at undersøge jeres modenhed på disse områder:

  1. Politikker, regler, procedurer og dokumentation
  2. Risikostyring (risikovurderinger og løbende risikohåndtering)
  3. Hændelseshåndtering og beredskabsplaner

Ordentlig governance og styring af informationssikkerhed er blevet helt almindelig god skik simpelthen fordi det er blevet en forudsætning for de fleste virksomheders forretningsaktiviteter. Derfor skal en ledelse interessere sig for informationssikkerhed :-)

PS: Jeg har sammenfattet de seks grunde til dig i et dokument, som du kan hente her


infosec_top_value.png

 


PPS: Klik her for at følge os på LinkedIn.

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.