CEO’en skal altså tage mere ansvar for informationssikkerhed

Annonceindlæg fra Pointsharp

Hvordan DKTV gennem automatisering kom i front med deres identitetsstyring

Manuelle og semi-automatiske strategier for identitetsstyring virker - lige indtil nogen beder om dokumentation. For at undgå denne fare har DKTV taget kontrol over sin identitets- og adgangsstrategi.

Jesper Lund Hedegaard

Senior Manager, Accenture Security

Strategisk og ledelsesmæssig sikkerhedsrådgiver samt GDPR specialist i Accenture. Bredt funderet i sikkerhedsverdenen med erfaring både i strategisk, taktisk og operationel sikkerhed, fra cyber til fysisk sikkerhed.

Accenture er en global rådgivnings- og teknologivirksomhed, der tilbyder en bred vifte af tjenester og løsninger inden for strategi, rådgivning og digital teknologi.

Læs mere

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Forestil dig en virksomhed med store udfordringer med at tage markedsandele, hvor topledelsen ikke diskuterer markedsføringsstrategi, men bare sender flere penge ned i marketingafdelingen. Nej, vel?

Det er svært at forstille sig, at en CEO ikke vil beskæftige sig indgående med, hvordan problemet kan løses. Ikke desto mindre er det – lidt karikeret – sådan virkeligheden ser ud mange steder, når det kommer til informationssikkerhed.

Udfordringen vokser år for år, og det samme gør udgifterne. Og de potentielle konsekvenser for virksomheden og dens interessenter kan være uoverskuelige.

Alligevel forbliver ansvaret langt de fleste steder isoleret i it-afdelingen. Det er uholdbart.

Og mit bud vil være, at vi de kommende år vil se langt flere topledelser komme ind i kampen og tage ansvar for deres informationssikkerhed.

Informationssikkerhed kan ikke længere parkeres i IT-afdelingen

Der er helt naturligt kommet større fokus på informationssikkerhed de seneste år.

Ser man på Fortune 500-virksomhederne, så steg andelen med en dedikeret CISO fra 70 til 100 procent fra 2018 til 2021. Og investeringerne følger med.

Vores undersøgelser viser, at sikkerhed nu udgør 15 procent af de samlede it-udgifter, hvilket er hele fem procentpoint højere end i 2020.

Udfordringen er, at det stadig foregår i en silo.

Ni ud af ti virksomheder parkerer stadig ansvaret for informationssikkerhed udelukkende hos it-afdelingen. Men den går altså ikke længere, og det er der flere gode grunde til:

For det første er de potentielle konsekvenser af et sikkerhedsbrud nu så store, at virksomhedens væsentligste interessenter forventer, at ansvaret ligger på det øverste niveau. Det gælder investorer, samarbejdspartnere og ikke mindst kunder.

I forhold til sidstnævnte viser et studie, at ikke mindre en 39 procent havde mistet tilliden til en virksomhed alene på grund af et datasikkerhedsbrud eller dårlig behandling af data.

Der er altså meget på spil. Både omdømme, markedsværdi og markedsandele.

Informationssikkerhed kan sammenlignes med bæredygtighed, der for år tilbage også var parkeret i en specialiseret afdeling, men nu er kommet på de fleste topledelsers agenda, fordi omverdenen forventer det.

For det andet resulterer den hastigt accelererede digitalisering i store investeringer i teknologier som cloud computing, 5G, industrial IoT, metaverse og quantum computing.

Investeringer der i stigende grad er forankret i den øverste ledelse på grund af deres strategiske betydning for forretningen, og hvor sikkerhed bør være tænkt ind fra starten i stedet for at blive en efterfølgende lappeløsning.

For det tredje kan det betale sig økonomisk. Virksomheder, der løfter informationssikkerheden op på et strategisk niveau, får simpelthen mere sikkerhed for pengene. Det har jeg skrevet en hel klumme om tidligere i år.

Initiativet skal komme fra CEO’en

Med ovenstående in mente bør enhver CISO have et talerør direkte ind til topledelsen.

Udfordringen er, at kommunikationslinjerne ofte er dårligt fungerende, fordi CISO’en måske kan have svært ved at løfte noget meget teknisk op på et strategisk niveau, som ledelsen kan forstå.

Og fordi ledelsen fra deres side også har svært ved at gå ind i diskussionen på grund af manglende forståelse.

Efter min mening må topledelsen og CEO’en gribe ansvaret og sørge for at tage informationssikkerheden ud af siloen og skabe rum for, at emnet bliver løftet til et strategisk niveau.

Hvis du kender en virksomhed (måske din egen), hvor informationssikkerhed endnu ikke er på topledelsens agenda – eller hvis du selv sidder i topledelsen af en virksomhed, så brug disse fem spørgsmål som udgangspunkt. Dem bør enhver topledelse kunne svare på:

• Hvor godt er forretningsstrategien understøttet af sikkerhedsstrategien? Hjælper den os med at tage kalkulerede risici, og beskytter den vores mest kritiske aktiver – eller er den blot fokuseret på simpel compliance?

• Tager virksomhedens beslutningstagere sikkerhed med som et integreret og naturligt element, når de træffer beslutninger? Er informationssikkerhed godt integreret i virksomheden, eller bor det i en silo?

• Hvor og hvordan bliver investeringer til informationssikkerhed allokeret i din virksomhed? Følger de forretningens udfordringer, eller er der bare en central hane, der bliver skruet op for?

• Ved du, hvor din virksomhed er mest sårbar? Og om de mest sårbare områder er beskyttet godt nok?

• Forstår du de risici, som forretningspartnere og leverandører står overfor? Og hvilken betydning de kan have for din egen virksomheds sikkerhed?

Og det er bedre at finde svarene internt i et godt samarbejde mellem CEO og CISO end at blive tvunget til at svare på dem fra journalister, investorer, samarbejdspartnere eller kunder, fordi man ikke har haft styr på sagerne.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.