För att förhindra attacker mot hackare ses statliga myndigheter och terrorister också i allt högre grad som en viktig del av den ”sociala” komponenten av ESG-prestanda – inte minst på grund av den bredare inverkan som en cybersäkerhetsattack kan ha på samhället och kunderna. Om du driver en bank kan en attack allvarligt påverka allmänhetens möjlighet att komma åt viktiga finansiella tjänster. Om du driver en vårdorganisation, kan ett intrång leda till att konfidentiella personuppgifter stjäls och få stor inverkan på leveransen av viktiga tjänster. Om du driver ett energibolag, kan en attack som den som inträffade i USA tidigare i år lamslå de tjänster som är avgörande i vardagen.
Med tanke på att den här typen av incidenter ökar för varje år, är det inte förvånande att effektiv cybersäkerhet i allt högre grad anses vara en viktig indikator på ett företags motståndskraft och sociala ansvar. Men hur ser bra styrning av cybersäkerhet ut? Och hur kan styrelser visa att de inte bara pratar säkerhet utan faktiskt har planer för alla eventualiteter?
Som ett minimum bör dagens styrelser kunna visa för partners, tillsynsmyndigheter och sin egen organisation att:
Alla dessa faktorer är avgörande om styrelserna vill tillgodose kraven från externa övervakningsorgan och skydda sin organisation mot potentiellt katastrofala hot.
Men detta är ändå inte någon statisk situation. Något annat som styrelser också behöver visa är att de är tillräckligt agila för att kunna anpassa sina strategier till förändrade omständigheter, nya hot och förändrade arbetsmönster som potentiellt kan förändra säkerhetslandskapet dramatiskt.
Lärdomarna från covid-19-pandemin är ett perfekt exempel på detta. Majoriteten av alla organisationer har nyligen infört hybridarbete i hög utsträckning som svar på pandemin. Detta har på många sätt varit en positiv förändring som har bidragit till ökad produktivitet och nöjdare medarbetare. Men det är också tydligt att hybridarbete utsätter organisationerna för ökad risk för säkerhetsintrång. Problem uppstår när användarna växlar mellan säkra och osäkra nätverk, inte följer IT-säkerhetspolicyer när de är hemma, har svaga lösenord, använder personliga enheter som inte är godkända, kopplar upp arbetsdatorn till smarta hemenheter och tar med sig skadlig programvara till kontoret när de loggar in sig på företagets nätverk igen.
En nyligen genomförd undersökning av HP Wolf Security visar att 83 % av globala IT-team tror att detta har skapat en ’tickande bomb’ för intrång i företagsnätverk.
Konsekvensen av detta är att styrelser nu måste visa att de har planer på plats för att skydda sig mot nya sårbarheter. De måste i synnerhet kunna visa att deras organisationer har reviderat sina strategier så att de tar hänsyn till nya hot, särskilt hot relaterade till ransomware, e-postbaserade hot och attacker på kundsidan som alla har ökat dramatiskt i samband med ökat distansarbete.
De måste också kunna visa att de stödjer investeringar i de system som krävs för att skydda en hybrid-arbetsstyrka – inklusive säkra VPN:er, multifaktorautentisering och endpoint-övervakning. Lika viktigt som att ha en strategi för att förändra företagets kultur. Detta bör inkludera planer för utbildning och träning av alla anställda om de specifika hoten relaterade till hybridarbete, och i slutändan skapa en cybersäkerhetsmedveten kultur som är anpassad för de moderna, snabbt föränderliga tiderna.
At Admincontrol we have recently been looking at these issues in På Admincontrol har vi nyligen studerat dessa frågor på djupet och tagit fram en handbok för styrelser om hur man hanterar effekten av hybridarbete på cybersäkerheten.
Vi har också tagit fram en infografik som sammanfattar de 7 sätt som styrelser kan vägleda organisationer mot säkert hybridarbete.
Vi hoppas att du kommer att tycka att informationen är användbar i ditt arbete med att utveckla och anpassa din cybersäkerhetsstrategi.