Digital sikkerhet og ledelsens ubehag

Toppledere er endelig blitt oppmerksomme på at digital sikkerhet kan ha en særlig stor effekt for å beskytte omdømme, skriver Lars Strand.

STENGT PGA. HACKING: Angrepet i mai 2019 kostet Hydro mellom 300 og 350 millioner kroner. Foto: NTB Scanpix

De siste årene har oppmerksomheten rundt digital sikkerhet økt. Regjeringen lanserte en ny nasjonal strategi for digital sikkerhet for ett år siden. 

Vi erfarte at det var et gap mellom teknologene og toppledelsen på prioritet og forståelse. De «snakket forbi hverandre»

Da sto statsministeren og fire ministere på scenen og var samstemte om viktigheten av digital sikkerhet. I november åpnet Nasjonalt cybersikkerhetssenter sentralt i Oslo sentrum. Her er private og offentlige partnere invitert inn til å jobbe sammen med oss. Vi har fått en ny sikkerhetslov og NIS-direktivet banker på døren. Digital sikkerhet er løftet på dagsordenen. Det merker vi både blant teknologer og ingeniører, men også hos toppledelsen.

Lars Strand. Foto: NSM

Tidligere ble vi i NSM spurt om råds til hvordan sikkerhetsarbeidet kunne løftes til toppledelsen. Vi erfarte at det var et gap mellom teknologene og toppledelsen på prioritet og forståelse. De «snakket forbi hverandre». Da vi utarbeidet «NSMs grunnprinsipper for IKT-sikkerhet» hadde vi særlig fokus på å gi gode argumenter til IT-ledere som kunne benyttes «oppover» til toppledelsen. Argumenter som skulle gjøre det lettere å kommunisere med toppledelsen.

Nå er problemstillingen blitt en annen: Toppledere er endelig blitt oppmerksomme på at digital sikkerhet kan ha en særlig stor effekt på virksomhetens måloppnåelse og hvor viktig det er for å beskytte omdømme. Så nå får vi flere spørsmål fra ledere at typen «Ja, vi vet at digital sikkerhet er viktig, men hva gjør jeg nå? Hvilke spørsmål og KPI-er skal jeg stille innover i organisasjonen?»

Et stort flertall av IT-ledere og sikkerhetsledere er teknologer eller ingeniører som både tenker og presenterer problemer og løsninger som ikke alltid er interessant for toppledelsen

Det synes vi er en gledelig utvikling, og er en problemstilling vi skal imøtekomme med mer konkrete råd. I tillegg til grunnprinsipper for IKT-sikkerhet er vi i gang med å lage et sett med grunnprinsipper for sikkerhetsstyring samt grunnprinsipper for personell og fysisk sikkerhet. Samlet skal alle NSMs ulike grunnprinsipper gi anbefalinger knyttet til hvordan virksomheten kan oppnå og opprettholde et forsvarlig sikkerhetsnivå. Utvikling av anbefalinger og råd skal vi gjøre i tett dialog med næringslivet, og spesielt partnere knyttet til cybersikkerhetssenteret.

Toppledelsen er primært interessert i tre temaer: Økonomisk resultat, markedsutvikling og (økonomisk) risiko

Et stort flertall av IT-ledere og sikkerhetsledere er teknologer eller ingeniører som både tenker og presenterer problemer og løsninger som ikke alltid er interessant for toppledelsen. Det er naturlig for teknologer både å tenke og snakke i en teknisk sjargong. Når de kommuniserer om digital risiko og sikkerhetsarbeid skjer det ofte fra et teknisk og taktisk perspektiv. Det snakkes om sårbarheter og trusler og tekniske løsninger, og ikke sikkerhetsarbeidet sett opp mot kjernevirksomheten og forretningsprosesser. Dette kan medføre mangelfull dialog og dårlig kommunikasjon. Resultatet blir at ledelsen ikke er tilstrekkelig informert og tar beslutninger på mangelfullt underlag.

Vi som jobber med digital sikkerhet må forstå at toppledelsens fokus er annerledes. Toppledelsen er primært interessert i tre temaer: Økonomisk resultat, markedsutvikling og (økonomisk) risiko. All kommunikasjon med styret bør derfor med fordel hektes opp mot et av disse tre for at man skal «nå frem».

Lars Strand

Seniorrådgiver i NSM Nasjonalt cybersikkerhetssenter