Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Når den daglige drift i virksomheden kører uden problemer, og sikkerhedsafdelingen aldrig råber vagt i gevær, kan det være nærliggende, at ledelsen begynder at stille spørgsmål ved sikkerhedsbudgettet – ikke nødvendigvis som et udtryk for konkrete sparekrav, men snarere som en naturlig skepsis grundet fraværet af hændelser.
For når intet tilsyneladende går galt, kan sikkerhedsindsatsen godt fremstå som et område, hvor der kan spares, uden at virksomheden mærker det.
Her viser paradokset sig imidlertid, for succes på cybersikkerhedsområdet måles især på fraværet af hændelser – og er dermed helt usynlig.
Kampen om budgetterne
Når virksomheder lægger årsbudgetter og reviderer kvartalsbudgetter, er der en naturlig konkurrence mellem de forskellige afdelinger, hvor den enkelte afdelingschef skal retfærdiggøre sit budgetforslag, og hvordan afdelingen bidrager til forretningen.
Nogle investeringer er stort set selvforklarende, mens der skal argumenteres kraftigt for andre. Inden for it-området bliver der for eksempel sjældent stillet spørgsmål ved systemer, der understøtter kerneforretningen – såsom produktionssystemer, erp, crm, e-commerce-platforme og andre forretningskritiske funktioner.
Det samme gør sig ikke nødvendigvis gældende inden for cybersikkerhed.
Her befinder CISO’er og sikkerhedsansvarlige sig ofte i en vanskelig position, hvor de skal forklare værdien af investeringer, der ikke er synlige, hvilket nemt kan give grobund for misforståelser og interne kampe.
For når velfungerende cybersikkerhedsløsninger ikke gør det store væsen af sig, er det i virkeligheden op til CISO’en at dokumentere resultatet af kontinuerlig overvågning og håndtering af tusindvis af trusler, der bliver blokeret og aldrig når at udvikle sig.
Cybersikkerhed passer ikke ind i regnearket
I de fleste virksomheder bliver værdi vurderet ud fra, hvad der skaber vækst, effektivisering og nye forretningsmuligheder.
Sikkerhedsområdet passer dårligt ind i den logik, fordi dets primære funktion er at forhindre cyberangreb og databrud.
Hvis cybersikkerhed forventes at dokumentere sin værdi på samme måde som en ny AI-platform, der kan revolutionere arbejdsgange, svarer det til at sætte spørgsmålstegn ved værdien af en sikkerhedssele.
Den gør ikke køreturen hurtigere eller mere komfortabel, men i det øjeblik uheldet er ude, er forskellen afgørende.
Desværre er det ofte først, når angrebet har ramt, at det for alvor går op for mange virksomheder, hvor ødelæggende en sikkerhedshændelse er for virksomhedens drift, omdømme og økonomi.
Cybersikkerhed bliver også ofte betragtet som en forsikring, der hjælper, når uheldet er ude.
Det er ikke forkert, men det er heller ikke hele billedet. Når vi rejser til Bali, nøjes vi ikke med en rejseforsikring. Vi bliver vaccineret, pakker medicin og forbereder os på det, der kan opstå. Det handler om at forebygge – ikke kun reagere.
Denne kombination af proaktiv og reaktiv handling er mindst lige så relevant, når det handler om cybersikkerhed.
Det er naturligvis afgørende at kunne håndtere et sikkerhedsbrud.
Men det er endnu vigtigere at kunne opdage anormale mønstre og trusler, før de udvikler sig til alvorlige hændelser.
Det kræver et Security Operations Center (SOC) med alt hvad det indbefatter af proaktiv overvågning 24/7, trusselsdetektion og -analyse, hurtig håndtering af sikkerhedshændelser og styring af compliance i forhold til gældende sikkerhedsstandarder og -krav.
Og det kommer selvfølgelig med en pris.
CISO’en skal tale forretning
Cybersikkerhed er en forudsætning for effektiv forretningsdrift.
Organisationer, der har implementeret et modent og avanceret sikkerhedsniveau, arbejder langt mere produktivt, fordi de ikke bruger tid på brandslukning, men fokuserer på at drive virksomheden fremad.
De kan indgå nye samarbejder, håndtere følsomme data og implementere nye løsninger uden konstant at skulle tage stilling til sikkerhedsaspekterne, da sikkerhedsafdelingen allerede håndterer dette forsvarligt.
Når virksomheder investerer i cybersikkerhed, køber de i virkeligheden råderum: Råderum til at bevæge sig, træffe beslutninger og udvikle forretningen uden at blive sat tilbage af hændelser, der kunne have været undgået.
Så når alle i virksomheden "bare" kan passe deres arbejde, ligner det måske ikke en succes, men det er netop, hvad det er.
Med cybersikkerhed må vi acceptere, at nogle af de vigtigste investeringer er dem, der aldrig bliver synlige, og at succes måles i det, der ikke sker.
For alternativet er langt dyrere. Ikke kun økonomisk, men også i tillid, omdømme og forretningskontinuitet.
Så næste gang spørgsmålet opstår om, vi bruger for mange penge på cybersikkerhed, er det værd at stille modspørgsmålet: Hvad koster det, hvis vi ikke gør?
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
