Tillbaka

Hur ser bra styrning av cybersäkerhet ut?

Översyn av cybersäkerheten står högre upp på styrelsens agenda än någonsin. Tidigare i år förutspådde Gartner att 40 % av styrelserna kommer att ha en dedikerad kommitté för cybersäkerhet år 2025. Det finns goda skäl för det antagandet. För det första kan de ekonomiska konsekvenserna av en attack vara enorma. Enligt siffror från IBM uppgick kostnaden för ett dataintrång till i snitt 4,24 miljoner dollar per incident 2021 – den högsta på 17 år. Det finns också starka bevis för att attackerna ökar i spåren av pandemin. Ransomware-attackerna ökade med 93 % bara under de första sex månaderna 2021..

4.november 2022
Skriven av Admincontrol

För att förhindra attacker mot hackare ses statliga myndigheter och terrorister också i allt högre grad som en viktig del av den ”sociala” komponenten av ESG-prestanda – inte minst på grund av den bredare inverkan som en cybersäkerhetsattack kan ha på samhället och kunderna. Om du driver en bank kan en attack allvarligt påverka allmänhetens möjlighet att komma åt viktiga finansiella tjänster. Om du driver en vårdorganisation, kan ett intrång leda till att konfidentiella personuppgifter stjäls och få stor inverkan på leveransen av viktiga tjänster. Om du driver ett energibolag, kan en attack som den som inträffade i USA tidigare i år lamslå de tjänster som är avgörande i vardagen.

Med tanke på att den här typen av incidenter ökar för varje år, är det inte förvånande att effektiv cybersäkerhet i allt högre grad anses vara en viktig indikator på ett företags motståndskraft och sociala ansvar. Men hur ser bra styrning av cybersäkerhet ut? Och hur kan styrelser visa att de inte bara pratar säkerhet utan faktiskt har planer för alla eventualiteter?

Minimikrav

Som ett minimum bör dagens styrelser kunna visa för partners, tillsynsmyndigheter och sin egen organisation att: 

  • De förstår cybersäkerhetshot på individuell chefsnivå
  • Stark översyn från styrelsens sida över en robust och genomtänkt cybersäkerhetsstrategi 
  • De har planer för katastrofåterställning med oförutsedda händelser så att tjänster snabbt kan tas i drift igen 
  • Har bevis för att de har ansträngt sig för att rekrytera experter och rådgivare inom cybersäkerhet 
  • Har processer på plats för att säkerställa att cyberrisk har integrerats med affärsrisk

Alla dessa faktorer är avgörande om styrelserna vill tillgodose kraven från externa övervakningsorgan och skydda sin organisation mot potentiellt katastrofala hot.

Men detta är ändå inte någon statisk situation. Något annat som styrelser också behöver visa är att de är tillräckligt agila för att kunna anpassa sina strategier till förändrade omständigheter, nya hot och förändrade arbetsmönster som potentiellt kan förändra säkerhetslandskapet dramatiskt.

Marius
Alla dessa faktorer är avgörande om styrelserna vill tillgodose kraven från externa övervakningsorgan och skydda sin organisation mot potentiellt katastrofala hot.

Effekterna av pandemin och ökningen av hybridarbete

Lärdomarna från covid-19-pandemin är ett perfekt exempel på detta. Majoriteten av alla organisationer har nyligen infört hybridarbete i hög utsträckning som svar på pandemin. Detta har på många sätt varit en positiv förändring som har bidragit till ökad produktivitet och nöjdare medarbetare. Men det är också tydligt att hybridarbete utsätter organisationerna för ökad risk för säkerhetsintrång. Problem uppstår när användarna växlar mellan säkra och osäkra nätverk, inte följer IT-säkerhetspolicyer när de är hemma, har svaga lösenord, använder personliga enheter som inte är godkända, kopplar upp arbetsdatorn till smarta hemenheter och tar med sig skadlig programvara till kontoret när de loggar in sig på företagets nätverk igen.

En nyligen genomförd undersökning av HP Wolf Security visar att 83 % av globala IT-team tror att detta har skapat en ’tickande bomb’ för intrång i företagsnätverk.

Konsekvensen av detta är att styrelser nu måste visa att de har planer på plats för att skydda sig mot nya sårbarheter. De måste i synnerhet kunna visa att deras organisationer har reviderat sina strategier så att de tar hänsyn till nya hot, särskilt hot relaterade till ransomware, e-postbaserade hot och attacker på kundsidan som alla har ökat dramatiskt i samband med ökat distansarbete.

De måste också kunna visa att de stödjer investeringar i de system som krävs för att skydda en hybrid-arbetsstyrka – inklusive säkra VPN:er, multifaktorautentisering och endpoint-övervakning. Lika viktigt som att ha en strategi för att förändra företagets kultur. Detta bör inkludera planer för utbildning och träning av alla anställda om de specifika hoten relaterade till hybridarbete, och i slutändan skapa en cybersäkerhetsmedveten kultur som är anpassad för de moderna, snabbt föränderliga tiderna.

Vidare läsning

At Admincontrol we have recently been looking at these issues in På Admincontrol har vi nyligen studerat dessa frågor på djupet och tagit fram en handbok för styrelser om hur man hanterar effekten av hybridarbete på cybersäkerheten. 

New call-to-action

Vi har också tagit fram en infografik som sammanfattar de 7 sätt som styrelser kan vägleda organisationer mot säkert hybridarbete.

Vi hoppas att du kommer att tycka att informationen är användbar i ditt arbete med att utveckla och anpassa din cybersäkerhetsstrategi.