Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

”Cybersäkerhet är ett affärsbeslut”

Debatt
Publicerad: 2021-11-01 11:39

DEBATT – Av Jan Kallberg, Jur.kand. fil.dr., verksam inom IT-säkerhet    

Ingen behöver vara så närvarande i informationssäkerhetsarbetet som den som är affärledare och driver verksamheten. I realiteten är det oftast inte fallet. Man förlitar sig på att säkerhetskonsulter “skall skydda oss från cyberangrepp”. Direkt ser ni problemet – konsulterna kan inte verksamheten och klarar inte av att prioritera vad som skall skyddas.

Säkerhetsarbete har ett par grundstenar. Man klassificerar informationsresurser efter hur viktiga de är för verksamheten, det fastställs en acceptabel risknivå för verksamheten och därefter tar man fram säkerhetslösningar som löser skyddet och inte lamslår verksamheten genom att göra det svårjobbat. Som en del av detta skapar man funktioner som kan återställa informationsresurser efter en skada.

Detta kan låta som enkla övningar – något som konsulterna kan lösa – men en central fråga som riskaptit, viljan att ta risker, kan äventyra hela verksamheten om det blir fel. Vad är fel nivå på riskaptit? Verksamhetens IT-verksamheten är beredda att ta risker som affärsledningen inte ens vågade drömma om eller omvänt att IT-verksamheten blir tungjobbat, står I vägen och klarar inte att prioritera med för hög riskaversion. Risk, som är centralt i informationssäkerhetsarbetet, kan enbart styras av den som är affärsledare. IT-personal och konsulter kan vara rådgivare, ta fram information och skissa på lösningar, men beslutet är ett affärsbeslut. Vilken risk vi är beredda att ta kan inte vara en fråga som är öppen och utlämnad till tolkning.

Precis som affärledningen har ett inflytande och styr vad som är accepterbar risk under resan när informationssäkerheten struktureras så är ledningen central när det går snett. En affärsledning som inte är engagerad i säkerhetsarbetet har för lång startsträcka när det gäller att ta beslut i ett krisläge. Cyberangrepp och datahaverier sker dagligen. Marknaden, kunder, myndigheter och ägare förväntar sig, med all rätt, att dessa skador kan hanteras snabbt och effektivt. Förvirring när ett större haveri inträffat, genom angrepp eller misstag, undergräver förtroende med mycket hög hastighet. På några timmar kan ett förtroende som det tagit decennier att bygga upp utraderas. I den digitala ekonomin är förtroende detsamma som intäkter och långsiktiga kundrelationer. En affärsledning som saknar förståelse för hur säkerheten är strukturerad för verksamhetens IT-system, i stora drag, och som inte gjort den intellektuella resan att prioritera, kommer inte att leda när den stora skadan inträffar. I klartext har man avhänt sig att leda kris.

Anledningen varför chefer har bra ersättningar och rekryteras är för att de skall med erfarenhet, insikt och karaktär navigera när det stormar och är besvärligt. Klarar inte affärsledningen leda när man är under cyberangrepp då har man överlåtit till IT-avdelning och konsulter att leda verksamheten.         

I en mindre och medelstor verksamheten förstärkts behovet av engagerad affärsledning eftersom hotet att långsiktigt skadas eller gå under av ett cyberangrepp är större. Ett börsbolag kan absorbera skadan, vilket mindre aktörer ofta i nichebranscher inte kan på samma sätt.

Om affärsledning kan engagera sig i hållbarhet och klimathotet, vilket man gör med både energi och intresse, borde steget att engagera sig I sårbarhet och cyberhotet inte vara så långt att ta. Verksamhetens överlevnad kommer alltid att vara ett affärsbeslut.


Dela sidan:
Skriv ut:

Dagens Juridik
red@dagensjuridik.se