Bygg en organisasjon og kultur tett knyttet til informasjonssikkerhet

studio-webinar
Skrevet av
Maria Svanberg
Lesetid
3 min

For at sikkerhetsarbeidet virkelig skal gjennomsyre hele organisasjonen, kreves det et tydelig engasjement fra toppledelsen. Her forteller Verdanes CTO, Henrik Berg, og Cybersecurity Director, Thomas Baasnes, begge med lang erfaring innen ledelse og informasjonssikkerhet, hvordan du som jobber med informasjonssikkerhet overbeviser ledere om viktigheten av å investere i et systematisk informasjonssikkerhetsarbeid.

Lederskap og kultur i cybersikkerhet

– Sikkerhet skjer ikke bare lokalt i en enkelt avdeling. Det vil aldri bli en reell del av bedriftens kultur om ikke ledelsen tar det på alvor. Dersom det ikke stilles krav fra ledelse- og styrenivå om at sikkerhet er viktig og skal følges opp, blir det et sekundært tema som man kanskje ikke bruker tilstrekkelig med tid på, sier Henrik.

I tillegg til rollen som CTO i private equity-selskapet Verdane, har Henrik over 20 års erfaring med å være en del av ledelsesgrupper og lede utviklingsteam. Kollegaen hans Thomas Baasnes hjelper hovedsakelig investeringsteamet i Verdane med å gjøre cybersecurity due diligence før og etter de har investert i et selskap. Thomas ser en klar forskjell mellom bedrifter som er mer og mindre modne i sitt informasjonssikkerhetsarbeid knyttet til lederskap:

– Det er en make it or break it-faktor. Vi har sett at de med høy grad av sikkerhetsmodenhet (både når det gjelder mennesker, prosesser og teknologier), og en strategi og ledelse som har forstått at dette er viktig, har mye lettere for å bygge Security by Design enn å gjøre det gradvis først når det begynner å bli kritisk, sier Thomas.

Ledere må huske på at det er de som setter tonen for organisasjonens sikkerhetsstilling, etablerer kulturen og allokerer ressurser. Dersom de ikke bryr seg, hvorfor skulle resten av selskapet bry seg?

Slik får du ledelsen til å prioritere sikkerhetsarbeidet

Som CISO, eller annet sikkerhetspersonell, er det viktig å ikke gi opp, men å fokusere på hva som kan gjøres. Hvis sikkerhet er viktig for virksomheten din, og ledelsen ikke forstår det, har løftet gått galt, noe som kan skyldes manglende kommunikasjon. Ikke glem at ledelsen sitter med mange andre prioriteringsområder. Dermed kan det være vanskelig for dem å investere i noe som føles som en forsikring for noe som kanskje aldri kommer til å skje, forklarer Thomas:

– Jeg hører ofte om rapporter som går opp til ledelsen hvor det for eksempel har blitt sagt at ransomware har økt med X prosent. Skremselspropaganda som understreker at når det skjer er det fort gjort og selskapet går konkurs. Det er absolutt gyldige poeng, og jeg tror alle virksomheter vil rammes, men den typen kommunikasjon fungerer sjelden bra.

Det er derfor vi i sikkerhetsbransjen må begynne å se på dette knyttet til effekter og resultater i stedet for skremselspropaganda. Argumenter med fakta som for eksempel løfter:

  • Vi har mistet X antall avtaler det siste året fordi vi ikke var ISO-sertifisert eller kompatible med Dora.
  • Vi har brukt X mye mer ressurser fordi våre kunder spør om vi kan demonstrere compliance, hvilket gjør at vi må bruke mye tid på å besvare spørsmål knyttet til dette.
  • Vi ser at målgruppen kommer til å innføre strengere krav om X år, og da blir det vanskelig for oss å være konkurransedyktige om vi ikke gjør noe i dag.

– Prat forretning fra et teknisk perspektiv. Forklar for ledelsen hva det koster i penger og tapt salg. Bruk gulroten i stedet for pisken. Da vil du nå ledelsen på en mye bedre måte, mener Henrik.

Henrik-Berg-Verdane-Stockholm-cropped-210401-1

Henrik Berg

Thomas_Profile picture-1

Thomas Baasnes

Øk kunnskapen rundt sikkerhet med bevisstgjørings- og utdanningsprogrammer

Det er vanlig å starte et bevisstgjørings- og opplæringsprogram for å komme i gang med informasjonssikkerhetsarbeidet. Dessverre blir det imidlertid ofte bare en compliance-øvelse som gir dårlig effekt ettersom mange aktiviteter settes i gang uten å tenke grundigere over det. Her er derfor Thomas sine beste tips til viktige spørsmål bedriften bør stille seg før arbeidet innledes:

  • Hva er formålet og målene for programmet? Vil vi styrke kulturen? Få alle ansatte til å forstå sitt ansvar knyttet til sikkerhet? Øke kunnskapen for spesifikke roller i bedriften?
  • Hvem skal vi rette dette mot? Det kan være alle ansatte, eller spesifikke funksjoner som HR, utviklingsgruppen, ledere, superadministratorer eller systemeiere.
  • Hva slags opplæring er det behov for? Tenk på målgruppen og hva de faktisk trenger.
  • Hvilke verktøy trengs for å effektivt drive aktivitetene? Trenger vi for eksempel å abonnere på en slags opplærings-plattform?
  • Hvordan måler vi hvor vellykket programmet er? Ikke kast penger i sjøen uten mål og mening!

Oppsummering: 3 raske tips å ta med deg

  • Sikkerhetskultur må settes på ledelsens agenda. Dette gjør du ved å fokusere på hvordan sikkerhet kan støtte forretningsresultatene.
  • Når du implementerer et program for å øke kultur, bevissthet og kunnskap, tenk over hvorfor det skal gjøres, hvordan det skal gjennomføres og hvem målgruppen er!
  • Regelmessig evaluering av programmet er nødvendig for å sikre at det er effektivt og oppnår målene sine.

Denne teksten er basert på samtalen mellom Verdanes CTO, Henrik Berg, og Cybersecurity Director, Thomas Baasnes, i vårt cybersecurity webinar, 16. november 2023. Se hele webinaret her.

MicrosoftTeams-image (7)-2