Forebyggelse af angreb fra hackere, offentlige myndigheder og terrorister bliver også i stigende grad betragtet som en vigtig del af den ’sociale’ komponent i ESG (miljøforhold, socialt ansvar og virksomhedsledelse) – ikke mindst på grund af den større indvirkning, et cybersikkerhedsangreb kan have på samfund og kunder. Hvis man driver en bank, kan et angreb have en alvorlig indvirkning på offentlighedens adgang til vigtige finansielle tjenester. Hvis man driver en sundhedsorganisation, kan et brud føre til, at fortrolige personlige data bliver stjålet og have stor indflydelse på levering af vigtige tjenester. Hvis man driver en energivirksomhed, kan et angreb, sådan som det skete i USA tidligere på året , ødelægge de tjenester, der driver vores liv i dagligdagen.
Med den slags hændelser, der bliver stadigt hyppigere år for år, er det ikke nogen overraskelse, at effektiv cybersikkerhed i stigende grad betragtes som en central indikator for en virksomheds modstandsdygtighed og sociale ansvar. Men hvordan ser god styring af cybersikkerhed ud? Og hvordan kan bestyrelser vise, at det ikke kun bliver ved snakken med hensyn til sikkerhed, og at de har planer for alle eventualiteter?Minimumkrav
Som udgangspunkt bør nutidens bestyrelser kunne demonstrere over for partnere, reguleringsorganer og deres egen organisation, at de har:
- Forståelse af cybersikkerhedstrusler på individuelt direktørniveau
- Stærkt overblik over en robust og velgennemtænkt strategi for cybersikkerhed
- Planer for gendannelse efter nedbrud med uforudsete nødsituationer til at hjælpe tjenester med at komme hurtigt i gang igen
- Bevis for, at de har gjort en indsats for at rekruttere eksperter og rådgivere inden for cybersikkerhed
- Processer til at sikre, at cyberrisici integreres med virksomhedsrisici
Alle disse elementer er afgørende, hvis bestyrelserne ønsker at imødekomme krav fra eksterne overvågningsorganer og beskytte deres organisation mod potentielt katastrofale trusler.
Dette er dog ikke en statisk situation. Det, som bestyrelserne også skal vise er, at de er agile nok til at tilpasse deres strategier til skiftende forhold, nye trusler samt ændringer i arbejdsmønstre, der har potentiale til at ændre sikkerhedslandskabet dramatisk.
Effekten af pandemien og stigningen i hybridarbejdet
Læringerne fra Covid 19 udgør et perfekt eksempel. I den seneste tid er de fleste organisationer i vidt omfang begyndt at anvende hybridarbejde som reaktion på pandemien. Dette har på mange måder været et positivt træk og har bidraget til at øge produktiviteten og medarbejdertilfredsheden. Det er dog også klart, at hybridarbejde udsætter organisationer for øget risiko for sikkerhedsbrud. Problemer opstår, når brugere skifter mellem sikre og usikre netværk, ikke følger it-sikkerhedspolitikker derhjemme, bruger svage adgangskoder, bruger uautoriserede personlige enheder, tilslutter arbejds-pc’er til mobile enheder i hjemmet og bringer malware ind på kontoret, når de logger på virksomhedens netværk igen.
En nylig undersøgelse fra HP Wolf Security viste, at 83 % af de globale it-teams mener, at dette har skabt en ’tikkende tidsbombe’ for brud på virksomhedens netværk.
Konsekvensen af det er, at bestyrelser nu skal vise, at de har planer på plads for at beskytte mod nye sårbarheder. De skal især vise, at deres organisationer har reviderede strategier, der tager højde for nye trusler, især dem, der er relateret til ransomware, e-mailbaserede trusler og angreb på klientsiden, som alle er steget dramatisk efter starten på fjernarbejde.
De skal også vise, at de bidrager med investeringer i systemer, der er nødvendige for at beskytte en hybrid arbejdsstyrke – herunder sikre VPN-forbindelser, multifaktorgodkendelse og overvågning af slutpunkter. Lige så vigtigt er det at have en strategi for at ændre virksomhedens kultur. Dette bør omfatte planer for at uddanne og træne alle medarbejdere i de specifikke trusler i forbindelse med hybridarbejde og i sidste ende skabe en cybersikkerhedsbevidst kultur, der passer til de moderne, hurtigt skiftende tider.
Yderligere læsning
At Admincontrol we have recently been looking at these issues in Hos Admincontrol har vi for nylig beskæftiget os indgående med disse spørgsmål og udarbejdet en håndbog for bestyrelser om hvordan man styrer indvirkningen af hybridarbejde på cybersikkerhed:
Vi har også udviklet en infografik, der opsummerer 7 måder, hvorpå bestyrelser kan vejlede organisationer i sikkert hybridarbejde.
Vi håber, du finder oplysningerne nyttige, efterhånden som du fortsætter med at udvikle og tilpasse din strategi for cybersikkerhed.