IT-sikkerhed skal ind på direktionsgang og bestyrelse

Ledelse. En brist på sikkerheden kan medføre tab af produktivitet, tab af viden, tab af intellektuel ejendom og ikke mindst tab af legitimitet over for kunder og partnere.

I arbejdet med den digitale omstilling bør vi øve os i at tænke IT-sikkerhed ind som en grundlæggende præmis for, at vi har lagt en holdbar strategi, skriver Microsofts danske chef. Illustration: Iris Fold sammen
Læs mere

Tidligere på året oplevede vi det største globale hackerangreb, der endnu er set, med ransomewaren WannaCry. Vi var mange, der måbede over omfanget af dette angreb, som lagde hospitaler ned i Storbritannien, forstyrrede infrastrukturen i Ukraine og lammede virksomheder verden over – i Spanien, Frankrig og også i Danmark.

I techbranchen har vi i mange år set IT-sikkerhed som et forretningskritisk parameter, fordi en brist på sikkerheden kan medføre tab af produktivitet, tab af viden og sågar tab af intellektuel ejendom, samt ikke mindst tab af legitimitet over for kunder og partnere.

I takt med den øgede digitalisering bliver trykket på forretningskritisk kun større, efterhånden som virksomheder bliver mere datadrevne, og efterhånden som vi digitaliserer flere af vores processer.

Derfor hører IT-sikkerhed også til på direktionsgangen på linje med virksomhedens øvrige finansielle risikovurderinger. Med skrækeksemplet på det hackerangreb, vi oplevede tidligere på året, fylder IT-­sikkerheden nu lidt mere på direktionsgangene og på erhvervssektionernes forsider – men vi er der ikke endnu.

Hen over sommeren har jeg haft mange dialoger med erhvervs­ledere, der, ligesom jeg, var rystede over omfanget på WannaCry-angrebet – og som på mange måder har fået et nyt perspektiv på IT-sikkerhed. Det fylder mere i erhvervsledernes bevidsthed, og jeg oplever en erkendelse af, at det skal prioriteres.

Samtidig har jeg oplevet mange erhvervsledere, der fortsat ikke er helt skarpe på deres strategi for IT-sikkerhed og på hvilke spørgsmål, de skal stille for at forstå risikoniveauet.

Mit indtryk er ikke, at det er manglende villighed til at prioritere, der er forklaringen – det skyldes måske snarere, at IT-sikkerhed for mange fortsat er associeret med noget komplekst og højteknologisk, hvilket kan afskrække de fleste direktører med en travl agenda og et lavt niveau af IT-kundskaber.

Så hvordan kan man med fordel prioritere?

Integrér IT-sikkerhed i virksomhedens øvrige rytme – hvorfor ikke beslutte, at det skal med på agendaen halvårligt på direktionsmødet og også på bestyrelsesmødet?

Strategien behøver heller ikke at være kompliceret eller omkostningstung – i dag kører flere virksomheder efter always current-modellen, som i al sin enkelthed handler om, at man altid kører de nyeste versioner af software og konstant holder virksomhedens digitale infrastruktur opdateret.

Man kan med fordel også diskutere, hvilket supportniveau man har behov for – hvor stor en del af virksomhedens applikationer er forretningskritiske? Og hvad er jeres behov for support under et evt. angreb?

Endelig bør man også sætte fokus på adfærd, ofte er det jo »blot et klik« på det forkerte link, der udsætter virksomheden for en sikkerhedstrussel. Har I dialog om det med jeres medarbejdere? Og hvordan forholder I jer, når skaden er sket? Lav en test, se det som en brandøvelse: Hvor mange klikker på det forkerte link? Eller åbner en inficeret mail?

Opmærksomhed på og forståelse for vores individuelle adfærds indvirkning på sikkerheden er vigtig og skal løbende trænes.

Generelt oplever jeg, at digitaliseringen og de mange muligheder, der ligger i digitaliseringen, står højt på virksomheds­ledernes agenda og strategiske prioritering.

I arbejdet med den digitale omstilling bør vi øve os i at tænke IT-sikkerhed ind som en grundlæggende præmis for, at vi har lagt en holdbar strategi.