Den største risiko, virksomheder i dag risikerer at løbe ind i, er risikoen for brud på it-sikkerheden. Desværre er det også den risiko, ledelsen ofte ved allermindst om. 

De fleste virksomhedsledelser og -bestyrelser besidder de klassiske ledelses- og bestyrelsesdyder som viden om økonomi, regnskaber, konjunkturer og markedsmekanismer. Men de ved ikke ret meget om virus, ransomware, phishing, og hvad man ellers kan blive ramt af på it-fronten. 

Det tager it-afdelingen sig vel af

Der var engang, hvor man havde en it-afdeling til at tage sig af den slags. Men det var dengang, digitalisering kun handlede om, at skrivemaskinen var blevet til et tekstbehandlingssystem på en computer, og regnemaskinen var blevet en automatisk del af samme computer.

It-afdelingen findes naturligvis stadig, og den er i dag – eller burde være – en del af ledelsen. Men rent faktisk viser en undersøgelse foretaget af Trend Micro, at 80 procent af alle it-chefer ikke fortæller deres ledelse om den reelle it-sikkerhedsrisiko. 

Om det så kun var 50 procent, er det stadig alt for mange, for det betyder, at ledelsen ikke kan stole på det situationsbillede, de sidder med. 

Der kan være mange grunde til, at it-afdelingen ikke fortæller om den reelle it-sikkerhedsrisiko. 

Dels er it-sikkerhedstruslernes vokset i både antal, omfang og styrke, og det er sket med en sådan hastighed, at det kræver stort set alle it-afdelingens ressourcer bare at holde de værste trusler fra døren. 

Dels vil den fornødne sikring af virksomhedens systemer og infrastruktur kræve så mange ressourcer, at ledelsen med stor sandsynlighed vil miste tilliden til it-chefen og undre sig over, at han/hun ikke er kommet frem med sine konklusioner og planer på et tidligere tidspunkt, da situationen var mere overskuelig. 

Mind the gap

En anden og måske endnu mere alvorlig udfordring for både ledelse og it-afdeling er det store kommunikationshul, der ofte er mellem dem. Langt de fleste it-chefer er typisk højt specialiserede, teknisk-mindede mennesker, der, som alle fageksperter, har glemt, hvordan det er ikke at beskæftige sig dagligt med sit fagområde. De formår derfor ikke at kommunikere i et sprog, så alle forstår, hvad det drejer sig om. Måske frygter de også at komme til at tale ned til ledelsen, hvis de forklarer alt for udpenslende. 

På den anden side er de færreste ledelser trænet i teknisk forståelse og har derfor ikke den nødvendige viden til at kunne stille de rigtige spørgsmål om risiko og indsatsområder til it-chefen. 

Men hvordan får man nogensinde løst denne knude? Det er jo to helt forskellige verdener? 

Det er absolut ikke nogen let opgave, men et godt udgangspunkt kunne være, at ledelsen lærer at spørge ind til, hvor virksomheden for eksempel er mest sårbar, og hvor den står stærkest? Helt banale spørgsmål som: hvilke trusler er relevante og hvorfor? Hvilke områder skal vi fokusere på rent sikkerhedsmæssigt? 

Hvis det svar, ledelsen får, ikke er helt klart og tydeligt, skal den naturligvis have mod nok til ærligt at indrømme; jeg forstår ikke, hvad du siger. Kan du forklare det på en anden og mere enkel måde? Det er jo en ærlig sag, at man har sine kompetencer på et andet område. 

Men med den høje digitaliseringsgrad, som dansk erhvervsliv har i dag, kan man måske med god grund forvente, at it-forståelse bliver en fast del af ledelsens kompetencer på linje med viden om økonomi og regnskab.

Vi har forsøgt at sige det

Indtil det bliver tilfældet, kan det måske blive nødvendigt, at nogen skal sluge en kamel eller to, hvis vi skal have løst denne kommunikationsudfordring. 

Med det højest mulige trusselsniveau, som vi ifølge Center for Cybersikkerhed har i dag, nytter det ikke noget, at ledelsen på den ene side tror, at der er styr på sagerne, mens it-afdelingen på den anden side skubber ansvaret videre med ordene ’vi har forsøgt at sige det’. 

De tidligere omtalte 80 procent kan undre, især når man ved, at virksomhedens drift og resultat hører til ledelsens ansvar. Det er vel heller ikke undgået nogens opmærksomhed, at bestyrelsen kan holdes økonomisk ansvarlig for deres beslutninger eller mangel på samme. 

Dette burde være grund nok for både ledelse og bestyrelse til enten at erhverve sig den nødvendige it-indsigt, alternativt erkende, at man er nødt til at stille spørgsmål, hvis man skal kunne tage ansvar for sikkerheden. Der er ikke rigtig noget valg.