For å forhindre angrep fra hackere, blir også statlige myndigheter og terrorister i økende grad sett på som en viktig del av den «sosiale» komponenten av ESG-ytelse – ikke minst på grunn av den mer omfattende innvirkningen et cybersikkerhetsangrep kan ha på samfunnet og kunder. Hvis du driver en bank, kan et angrep alvorlig påvirke publikums tilgang til viktige finansielle tjenester. Hvis du driver en helseorganisasjon, kan et brudd føre til at konfidensielle personopplysninger blir stjålet og at levering av viktige tjenester blir forhindret. Hvis du driver et energiselskap, slik vi så et eksempel på i USA tidligere i år, kan et angrep lamme krafttjenestene vi er avhengige av i våre daglige liv.
Når denne typen hendelser blir stadig vanligere, er det ikke overraskende at effektiv cybersikkerhet i økende grad blir ansett som en nøkkelindikator for et selskaps motstandskraft og samfunnsansvar. Hvordan ser god styring av cybersikkerhet ut? Og hvordan kan styrer vise at de ikke bare snakker om sikkerhet, men faktisk har planer for alle eventualiteter?
Minimumskrav
Som utgangspunkt bør dagens styrer kunne demonstrere for partnere, tilsynsmyndigheter og egen organisasjon at de har:
- Forståelse av cybersikkerhetstrusler på individuelt direktørnivå
- Sterkt styretilsyn og en robust og gjennomtenkt cybersikkerhetsstrategi
- Planer for katastrofehåndtering med beredskap for å få tjenester raskt tilbake i drift
- Bevis på at de har gjort en innsats for å rekruttere eksperter og rådgivere innen cybersikkerhet
- Prosesser for å sikre at cyberrisiko blir integrert med forretningsrisiko
Alle disse elementene er avgjørende hvis styrene vil tilfredsstille krav fra eksterne overvåkingsorganer og beskytte organisasjonen mot potensielt katastrofale trusler.
Dette er imidlertid ikke en statisk situasjon. Styrene må også demonstrere at de er smidige nok til å tilpasse strategiene sine til endrede omstendigheter, nye trusler og endringer i arbeidsmønstre som har potensial til å dramatisk endre sikkerhetslandskapet.
Endringer som følge av pandemien og fremveksten av hybridarbeid
Erfaringene fra Covid 19 er et perfekt eksempel. I det siste har de fleste organisasjoner tatt i bruk omfattende hybridarbeid som et svar på pandemien. På mange måter har dette vært et positivt trekk som har bidratt til å øke produktiviteten og medarbeidernes tilfredshet. Det er likevel også klart at hybridarbeid utsetter organisasjoner for økt risiko for sikkerhetsbrudd. Det oppstår problemer med brukere som skifter mellom sikre og usikre nettverk, ikke følger retningslinjer for IT-sikkerhet når de er hjemme, har svake passord, bruker uautoriserte personlige enheter, kobler arbeids-PCer til enheter for smarte hjem og tar med seg skadelig programvare inn på kontoret når de logger seg på bedriftsnettverket igjen.
En ny undersøkelse utført av HP Wolf Security viser at 83 % av de globale IT-teamene mener dette har skapt en “tikkende tidsbombe” for brudd på bedriftsnettverket.
Konsekvensen av dette er at styrene nå må vise at de har beredskapsplaner på plass for å håndtere nye sårbarheter. Spesielt må de vise at organisasjonene deres har reviderte strategier som tar hensyn til nye trusler, spesielt de som er relatert til løsepengevirus, e-postbaserte trusler og kundeangrep som alle har økt dramatisk i kjølvannet av mer fjernarbeid.
De må også vise at de støtter investeringer i systemer som er nødvendige for å beskytte en hybrid arbeidsstyrke – inkludert sikre VPN-er, flerfaktorautentisering og endepunktovervåking. Like viktig er det å ha en strategi for å endre kulturen i selskapet. Dette bør omfatte planer for utdanning og opplæring av alle ansatte om de spesifikke truslene knyttet til hybridarbeid, og å skape en cybersecurity-bevisst kultur som passer for moderne, raskt skiftende tider.
Videre lesning
Hos Admincontrol har vi nylig sett grundig på disse problemene og har laget en håndbok for styrer om hvordan du styrer effekten av hybridarbeid på cybersikkerhet.
Vi har også laget infografikk som oppsummerer de 7 måtene styrer kan veilede organisasjoner til å drive sikkert hybridarbeid på.
Vi håper du synes informasjonen er nyttig når du fortsetter å utvikle og tilpasse strategien for cybersikkerhet.