För att säkerhetsarbetet verkligen ska kunna genomsyra hela organisationen krävs ett tydligt engagemang uppifrån. Här berättar Verdanes CTO, Henrik Berg, och Cybersecurity Director, Thomas Baasnes, båda med lång erfarenhet av ledarskap och informationssäkerhet, hur du som arbetar med informationssäkerhet övertygar ledare om vikten av att investera i ett systematiskt informationssäkerhetsarbete.
Ledarskap och kultur i cybersäkerhet
– Säkerhet uppstår inte bara lokalt i en enskild avdelning. Det blir aldrig en riktig del av bolagets kultur om inte ledningen tar det på allvar. Om det inte finns krav från lednings- och styrelsenivå att säkerhet är viktigt och ska följas upp på, blir det ett sekundärt ämne som man kanske inte lägger tillräckligt mycket tid på, säger Henrik.
Förutom rollen som CTO på privatkapitalbolaget Verdane har Henrik över 20 års erfarenhet av att sitta med i ledningsgrupper och leda utvecklingsteam. Hans kollega Thomas Baasnes hjälper framförallt investeringsteamet på Verdane att göra cybersecurity due diligence innan och efter de investerat i ett bolag. Thomas ser en tydlig skillnad mellan bolag som är mer och mindre mogna i sitt informationssäkerhetsarbete kopplat till ledarskap:
– Det är en make it or break it-faktor. Vi har sett att de med en hög mognadsgrad på sin säkerhet (både gällande människor, processer och teknologier), och en strategi och ledning som förstått att detta är viktigt, har mycket lättare att bygga Security by Design än att göra det gradvis först när det börjar blir kritiskt, säger Thomas.
Ledare måste komma ihåg att det är de som sätter tonen för organisationens säkerhetsställning, etablerar kulturen och tilldelar resurser. Om de inte bryr sig, varför skulle resten av företaget bry sig?
Så får du ledningen att prioritera säkerhetsarbetet
Som CISO, eller annan personal inom säkerhet, är det viktigt att inte ge upp utan fokusera på vad som kan göras. Om säkerhet är viktigt för ditt företag, och ledningen inte förstår det, har löftet blivit fel, vilket kan bero på brist i kommunikationen. Glöm inte bort att ledningen sitter med mängder av andra prioriteringsområden. Därmed kan det vara svårt för dem att investera i något som känns som en försäkring för något som eventuellt aldrig kommer att ske, förklarar Thomas:
– Jag hör ofta om rapporter som går upp till ledningen, där man exempelvis har sagt att ransomware har ökat med X procent. Skrämselpropaganda som trycker på att när det sker är det kört och företaget går bankrutt. Det är absolut befogade poänger, och jag tror att alla företag kommer att drabbas, men den typen av kommunikation funkar sällan bra.
Det är därför vi inom säkerhetsbranschen behöver börja se på det här kopplat till effekter och resultat istället för skrämselpropaganda. Argumentera med fakta som exempelvis lyfter:
- Vi har tappat X antal deals det senaste året för att vi inte var ISO-certifierade eller compliant med Dora.
- Vi har använt X mycket mer resurser för att våra kunder frågar om vi kan demonstrera compliance, vilket gör att vi måste lägga mycket tid på att besvara frågor kopplat till detta.
- Vi ser att vår målgrupp kommer att införa strängare krav om X år, och då blir det svårt för oss att vara konkurrenskraftiga om vi inte gör något idag.
– Prata affär från ett tekniskt perspektiv. Förklara för ledningen vad det kostar i pengar och förlorad försäljning. Använd moroten istället för piskan. Då kommer du att nå ledningen på ett mycket bättre sätt, menar Henrik.
Henrik Berg |
Thomas Baasnes |
Öka kunskapen kring säkerhet med medvetenhets- och utbildningsprogram
Det är vanligt att dra igång ett medvetenhets- och utbildningsprogram för att komma igång med informationssäkerhetsarbetet. Tyvärr blir det dock ofta enbart en compliance-övning som ger dålig effekt eftersom att en massa aktiviteter sätts igång utan att tänka till. Här är därför Thomas bästa tips på viktiga frågor företaget bör ställa sig innan arbetet inleds:
- Vad är syfte och mål med programmet? Vill vi stärka kulturen? Få alla anställda att förstå sitt ansvar kopplat till säkerhet? Öka kunskapen för specifika roller i företaget?
- Vem ska vi rikta detta mot? Det kan vara alla anställda, eller specifika funktioner som HR, utvecklingsgruppen, ledare, superadministratör eller systemägare.
- Vad för typ av utbildning behövs? Tänk på målgruppen och vad de faktiskt behöver.
- Vilka verktyg behövs för att effektivt driva igenom aktiviteterna? Behöver vi exempelvis prenumerera på någon utbildningsplattform?
- Hur mäter vi hur framgångsrikt programmet är? Kasta inte pengar i sjön utan mät!
Sammanfattning: 3 snabba medskick att ta med dig
- Säkerhetskultur måste sättas på ledningens agenda. Detta gör du genom att fokusera på hur säkerhet kan stötta affärsresultaten.
- När du implementerar ett program för att öka kultur, medvetenhet och kunskap, tänk på varför det ska göras, hur det ska utföras och vem som är målgruppen!
- Regelbunden utvärdering av programmet är nödvändig för att säkerställa att det är effektivt och uppnår sina mål.
Den här texten baseras på samtalet mellan Verdanes CTO, Henrik Berg, och Cybersecurity Director, Thomas Baasnes, i vårt webbinarium om cybersäkerhet, den 16 november 2023. Se hela webinaret här.