Det har vært vanlig å se på IT-sikkerhet som en kostnad. Som et nødvendig onde. Men hvis vi i stedet ser på det som en investering som kan tilføre verdi til virksomheten, gir det ledelsen en bedre forståelse av hva IT-sikkerhet egentlig handler om. Det sier Andreas Hegna, grunnlegger av Tagore og ekspert på cybersikkerhet.
Med økende krav fra både myndigheter, kunder og ansatte er IT-sikkerhet ikke lenger et spørsmål som «IT-avdelingen tar seg av», men et anliggende for ledelsen av virksomheten.
– Dette viser seg ikke minst i hvem som får bøtene som deles ut, konstaterer Andreas Hegna. Det er ledelsen som blir bøtelagt, ikke IT-sjefen.
Og for at ledelsen skal håndtere IT- og cybersikkerhet på en god måte, må sikkerhet oppfattes som en investering som kan tilføre verdi til virksomheten (noe det også gjør). En viktig brikke i puslespillet er at rolle- og ansvarsfordelingen må være på plass. Det er ikke lenger nok bare å ha retningslinjer på papiret. Med nye og skarpere direktiver som artikkel 25 i GDPR må virksomheter også kunne svare på hvordan de håndterer sikkerhet i praksis, ikke bare på hvordan retningslinjene ser ut.
“Roller og ansvar er viktigere enn retningslinjer”
Jo tidligere sikkerhetshull i virksomhetens digitale miljø og tjenester oppdages, desto bedre er det. Det er dette som er meningen med den såkalte «shift-left-strategien». Men for å nå dette målet må virksomhetene begynne i riktig ende: med rolle- og ansvarsfordeling. Det sier Andreas Hegna, grunnlegger av Tagore og ekspert på cybersikkerhet. Tagore hjelper bedrifter med å automatisere mye av styringen og ledelsen rundt cybersikkerhet. Men sikkerhet i utformingsfasen kan ikke automatiseres. Det må gjøres manuelt, og disse tre tingene er viktigst:
- Sikkerhetsbevissthet – Hvis virksomheten skal prioritere arbeidet med sikkerhet, er opplæring som øker bevisstheten om at sikkerhet er viktig, helt avgjørende.
- Kildekodeskanning – Virksomheten må ha oversikt over hvor eventuelle sikkerhetsproblemer kan oppstå, helt fra begynnelsen av.
- Rutiner for håndtering av feil og mangler – Når feil oppstår, trenger virksomheten tydelige rutiner og fordeling av roller og ansvar. Andreas Hegna fremhever dette siste punktet som ekstra sentralt.
God dokumentasjon av hvordan virksomheten håndterer cybersikkerheten, er et krav fra både myndigheter, kunder og samarbeidspartnere. Og ifølge Andreas gir det også konkurransefortrinn. Han forteller at åpenhet og en proaktiv tilnærming til sikkerhet skaper tillit hos kunder og partnere, men han påpeker også at mange virksomheter forgjeves leter etter standarder å lene seg på og henvise til.
Artikkel 25 i GDPR er et eksempel på at mange virksomheter feilaktig tror at det finnes en fast standard for hvordan man skal håndtere Security and Privacy by Design.
– Det finnes ingen standard, konstaterer Andreas. Virksomheten må selv ta stilling og vite hvordan den skal håndtere disse spørsmålene. Og det er her det proaktive perspektivet kommer inn i bildet igjen. En tydelig og enkel beskrivelse der man svarer kort på de grunnleggende spørsmålene, er ofte nok, mens usikkerhet bare fører til flere spørsmål, lengre spørreskjemaer og mer dokumentasjon.
– Sånt tar tid, det forlenger salgsprosessene, og det stjeler ressurser, forteller Andreas Hegna. Jeg vil oppfordre salgsavdelingene til å se på sikkerhetsdokumentasjonen som godt salgsmateriale.
For at ledelsen i en virksomhet skal kunne ta ansvar for cybersikkerheten, trengs det tydelige og målbare mål. Og man må måle riktige tingene. Det handler ofte om at man må definere risikomomenter og avgjøre hvem som har ansvar for dem. Når cybersikkerheten i en virksomhet ikke lenger bare er «noe IT-avdelingen tar seg av», må ledelsen tydelig definere de ulike risikomomentene som virksomheten står overfor – og ikke minst – hvem som har ansvar for dem.
– Administrerende direktør i virksomheten må vite hvem som er ansvarlig, og hvem som gjør hva, sier Hegna.
Risikomomentene kan være alt fra finansielle og kommersielle til organisatoriske og juridiske. Det viktigste er at virksomheten setter tydelige målepunkter for hvordan sikkerheten skal ivaretas.
– For at ledelsen skal kunne ta ansvar for den overordnede cybersikkerheten, må virksomheten ha de rette KPI-ene, og de må være målbare, sier Andreas Hegna. Ledelsen skal ikke henge seg opp i detaljer, men se at utviklingen går i riktig retning.
“Sikkerhetsdokumentasjon er god markedsføring.”
Historisk sett har sikkerhetsavdelingen i et selskap ofte vært kjent som «stedet der de gode ideene dør», ler Andreas. Men det er i ferd med å endre seg. Nå er cybersikkerhet et kvalitetsstempel for hele virksomheten. Fra department of «no» til department of «go». Dette er Andreas Hegnas visjon for hvordan en virksomhet bør se på og bruke dem som er ansvarlige for cybersikkerheten. Når man håndterer sikkerheten riktig, skaper det tillit og trygghet både hos kunder og investorer.
Virksomheter som kan vise at de har varer og tjenester av høy kvalitet og et høyt sikkerhetsnivå, kan bruke dette som et konkurransefortrinn, sier Andreas Hegna. Han sammenligner det med å kjøpe en bruktbil.
– Du er ikke fornøyd med at bilen ser bra ut i lakken. Du vil også vite at ingen uvedkommende har mekket på bremsene. Det er det samme med cybersikkerhet, det er en del av kvalitetsstempelet.
Hør hele episoden på Spotify her:
Oppdag 2025-versjonen av kurset vårt i informasjonssikkerhet her.