Aktuelle rapporter fra eksempelvis Erhvervsstyrelsen og Danmarks Statistik viser, at cybersikkerheden halter hos flere danske virksomheder og primært de små og mellemstore.

Som leder af Alexandra Instituttets lab for cybersikkerhed oplever jeg en stigende interesse for cybersikkerhed blandt danske virksomheder, men samtidig en tvivl om, hvor aktiviteten skal placeres i organisationen og hvilket niveau, I skal vælge. For cybersikkerhed er langt mere end en teknisk disciplin. Den kræver et organisatorisk og forretningskritisk blik, som virksomhedsledelsen skal tage ansvar for. Risikoanalyse er et godt sted, I kan starte.

De fleste tror stadig, at cybersikkerhed er en hardcore teknisk disciplin. Og ja det er rigtigt nok. I sidste ende handler det om tekniske løsninger. Men cybersikkerhed handler i lige så høj grad om noget ikke-teknisk: Ansvar og prioritering. Derfor skal ansvaret for cybersikkerhed ikke parkeres i it-afdelingen eller uddelegeres inden, man har haft de fornødne vurderinger internt og på ledelsesniveau.

Så mit klare råd til ledelsen lyder: Tag ansvar for virksomhedens cybersikkerhed. Det gælder de helt basale som firewall og opdateringer, men også de mere avancerede overvejelser i takt med, at I digitaliserer jeres løsninger og kobler produkter på nettet. En risikoanalyse kan være det grundlag, der kvalificerer beslutningen.

Cybersikkerhed er en kalkule

Risikoanalyse er en måde at gøre cybersikkerhed nemmere tilgængeligt, mere overskueligt og systematiseret for de virksomheder, der ikke ved så meget om cybersikkerhed endnu.

En risikoanalyse tager udgangspunkt i en valgt problemstilling. Og analysen behøver ikke være perfekt fra start. På den måde kommer man relativt let i gang med at få et sprog for trusselsniveau. Og dermed hvordan man finder det rette cybersikkerhedsniveau. Et niveau der løbende skal diskuteres og vendes og ændres med en ledelse, der går forrest.

Det kan være, I har planer om at digitalisere nogle processer, udvikle nye løsninger eller koble produkter på nettet og dermed begynde at bruge data på en anden måde? Og dermed skal kigge mod nye cybersikkerhedsteknologier? For ja cybersikkerhed er dagligt til forhandling.

Erfaringer viser, at når de forskellige fagfolk i virksomheden snakker sammen ud fra en model, som risikoanalysen bygger på, kan de fleste bidrage.

Pointen er, at cybersikkerhed er en kalkule. Mange tænker naturligt, at det sker jo ikke for os. Med analysen kan man kigge på: Hvad er forrentningsmæssigt vigtigt ved vores løsning? Koden der kører? At persondata ikke lækkes? Måske er den software, som løsningen bruger forretningshemmelig, mens frekvensen af dataopsamling er knap så sårbar.

Den dialog skal styres, så deltagerne tænker sig frem til mulige scenarier og ledelsen kan forholde sig til dem. Hold også øje med trends. Måske I allerede har noget intern erfaring, eller I kan finde vejledninger i jeres branche om, hvor mange angreb der har været på den type systemer historisk? Analysen er ikke perfekt første gang. Begynd i det små men begynd nu.

Klumme: Sådan bygger du en virksomhedskultur der passer til den nye digitale virkelighed 

Klumme: Krisen øger behovet for analytisk modenhed