Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Siden slutningen af halvfemserne har konflikter mellem it-afdelingen og virksomhedsledelsen været dagligdag.
Den nationale implementering af NIS2 (Network and Information Systems Directive), der trådte i kraft i 2023. markerer imidlertid et radikalt paradigmeskift, fordi direktivet tvinger IT-afdelingen og ledelsen ud i et fast samarbejde.
Men hvordan undgår man, at det nye tvangssamarbejde forværrer konflikterne, og kan man måske endda vende kravet til en fordel?
NIS2-direktivet lægger vægt på aktiv håndtering af cybertrusler. Det bliver understreget af risikoen for betydelige bøder.
Forventningen og det politiske ønske er, at ledelsen skal spille en større rolle på cybersikkerhedsområdet.
Cyberangreb medfører ofte driftsmæssige forstyrrelser, hvilket automatisk gør cybersikkerhed til en økonomisk topprioritet i alle typer af virksomheder.
Det afgørende nye ved NIS2 er et øget fokus på risikostyring og en understregning af ledelsens ansvar. Det kan øge spændingerne mellem it-afdelingen og ledelsen, og i sidste ende kan den øgede friktion true virksomhedens sikkerhed og økonomiske fremtid.
Det ugentlige IT-møde bliver pensum for ledelsen
Når ledelsen bliver mere involveret i cybersikkerhedsdebatten, bliver forskellene i perspektiver mellem ledelsen og it-afdelingen også i højere grad sat på spidsen.
Ledelsen har traditionelt set et optimeringsperspektiv på virksomhedens drift.
Her viste en survey gennemført af Sapio Research blandt 210 danske ledere i 2021 eksempelvis, at 93 pct. af lederne ville gå på kompromis med it-sikkerheden, hvis den er i vejen for andre forretningsmæssige mål som produktivitet, innovation eller kundeoplevelsen.
It-sikkerhedsfolk er derimod fuldt engagerede i trusselsforebyggelse og allokerer de fleste ressourcer derefter.
It-sikkerhedsfolkene vil derfor typisk være skeptiske over for ledelsesbeslutninger, som prioriterer effektive processer højere end cybersikkerhed.
Der er derfor en risiko for, at der kan opstå mistillid mellem ledelsen og it-afdelingen. En mistillid, som er dræbende for det samarbejde, som en succesfuld håndtering af NIS2 forudsætter.
Dog har vi også set positive tendenser, når det gælder forholdet mellem ledelsen og it-afdelingen.
I den tidligere nævnte survey sagde cirka hver anden (58 procent) af de danske ledere, at de afsætter tid til at tale cybersikkerhed med it-teamet mindst én gang om ugen.
Med NIS2 skal det ugentlige møde sættes eksplicit på dagsordenen i alle virksomheder, fordi cybersikkerhed og risikostyring nu direkte er blevet fast pensum for ledelsen.
NIS2 betyder, at it-afdelingen nu i endnu højere grad skal være i stand til at forklare ledelsen, hvor virksomheden står over for en risiko, hvor stor risikoen er, og hvordan den bedst håndteres.
Det er ikke nogen nem opgave, hverken kommunikationsmæssigt eller teknisk.
Det første fælles projekt
Det første fælles projekt mellem it-afdelingen og ledelsen bør være en fælles forståelse af behovet for en intelligent backupstrategi.
Backuppen kan vise sig at blive den sidste udvej, hvis alt andet går galt, og det lykkes hackere at få kontrol over virksomhedens it-infrastruktur.
NIS2 kræver, at virksomheden etablerer systemer, der kan detektere angreb, og en beredskabsplan for, hvordan virksomheden skal beskytte sig.
Her vil den bedste tekniske løsning bestå af en kombination af Attack Surface Risk Management (ASRM) og Extended Detection and Response (XDR).
ASRM tildeler vha. AI automatisk virksomhedens netværk en risikoscore ved at tage udgangspunkt i angriberens perspektiv.
Virksomheden får en alarm, når en bestemt tærskel overskrides og giver detaljer om, hvilke systemer der er berørt. XDR sikrer gennemsigtighed i hele it-miljøet, indsamler trusselsoplysninger og korrelerer dem med AI-understøttede handlingsrettede alarmer.
Kombinationen af de to typer af teknologier vil hjælpe virksomheden med både at reducere risikoen for et angreb og omfanget af skade, hvis et angreb lykkes.
Fokus på tillid, samarbejde og kommunikation af nøglen til succes
Selv den mest avancerede sikkerhedsteknologi er dog ikke den store hjælp, hvis samarbejdet svigter, eller vedligeholdelsen af sikkerhedsarkitekturen forsømmes på grund af mangel på kvalificerede it-sikkerhedsfolk.
Det er et problem i størstedelen af danske virksomheder, fordi de fleste er små og mellemstore virksomheder med sparsomme ressourcer inden for it-sikkerhed.
Derfor vil de fleste danske virksomheder få nemmere ved at håndtere NIS2, hvis de allierer sig med en managed service provider (MSP) inden for cybersikkerhed.
En MSP vil både kunne hjælpe med at holde teknologien opdateret og samtidig sørge for effektiv kommunikation mellem den interne it-stab og ledelsen.
Samtidig vil en MSP også have stor erfaring med at gennemføre “Red Teaming”-processer, hvor virksomhedens beredskab bliver testet under realistiske forhold.
Det vil sikre en effektiv implementering af de tekniske krav i NIS2 og samtidig understøtte samarbejdet mellem it-afdelingen og ledelsen.
Ofte vil en dygtig MSP også kunne bygge bro mellem it-ledelsen og virksomhedens øverste ledelse og hjælpe med at genforhandle og booste det ofte skrøbelige samarbejde, som i NIS2-perspektiv nu skal være mere solidt end nogensinde.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.