Artikkel   12 september 2024

"På tide at ledelse og styre tar ansvar for cybersikkerhet"

Nasjonal sikkerhetsmåned er rett rundt hjørnet. Nå er tiden inne for å få ledelsen og styret til å forstå hvor viktig cybersikkerhet er for hele virksomheten, og for at ledelsen går foran med et godt eksempel. Da kreves det at bedriftsledelsen følger NIS2-direktivet og faktisk gjennomgår opplæring i cybersikkerhet. Det mener Junglemaps CISO Geir Aasen.

NIS2
Informasjonssikkerhet
"På tide at ledelse og styre tar ansvar for cybersikkerhet"

Geir Aasen, CISO Junglemap

I følge NIS2-direktivet er organisasjoner i samfunnskritiske og viktige sektorer pålagt å gjennomføre regelmessig opplæring i cybersikkerhet. Imidlertid er det en reell risiko for at denne opplæringen kun blir en «kryss av på lista-aktivitet» - altså en enkeltstående hendelse og ikke en kontinuerlig prosess som er nødvendig for å skape den kulturendring og robuste cyberresiliens som NIS2-direktivet sikter mot.

Jeg tror vi som sikkerhetseksperter må presentere dette i tre trinn:

For det første må vi få ledelsen til å se på læring som en kontinuerlig prosess og ikke som en enkelthendelse. Vi må bruke metoder som får alle til å huske det de lærer. 

For det andre trenger vi metoder som gjør at vi vinner kalenderkrigen. Fulle kalendere er et gjennomgående problem for alle ansatte i alle typer virksomheter, offentlige så vel som private. Ikke minst gjelder dette bedriftsledelsen. For å si det enkelt: Vi trenger et kurs for de som ikke har tid til å gå på kurs.

For det tredje må opplæringen ha et innhold som gjør at ledelse og styre fokuserer på de rette tingene. Det er viktig at opplæringen bygger en forståelse på riktig strategisk og operativt nivå. Ledere har et særlig ansvar for å gå foran som gode eksempler i arbeidet med å bygge en god informasjonssikkerhetskultur. 

For at ledelsen skal kunne ta ansvar for virksomhetens cybersikkerhet, må de forstå modenhetsnivået til organisasjonen samt hvilke sikkerhetsrisikoer som finnes. Ledelsen må også kunne fordele klare roller og ansvar. Videre trenger de kunnskap om hvordan de kan jobbe med et ledelsessystem for cybersikkerhet, og hvordan de kan utføre risikovurderinger. De trenger også kunnskap om outsourcing og risikostyring av tredjeparter. En ledelse må også ha kontroll på regeloverholdelse, hendelsesrespons, kontinuitet og planlegging av cybersikkerhet fremover. Alt dette bidrar til å bygge tillit til virksomheten.

Og sist, men ikke minst: Ledelsen må nesten alltid bli bedre til å kommunisere viktigheten av sikkerhet.

Junglemaps kurs Digital sikkerhet for styre og ledelse oppfyller alle disse nødvendige trinnene: Kurset er basert på læring som en prosess der leksjonsmodulene sendes ut over tid og i et 3-minutters leksjonsformat som gjør det enkelt å gjennomføre leksjonene i en hektisk hverdag. Innholdet i kurset gir ledere den kompetansen som NIS2-direktivet krever.

Med opplæring av den typen vi i Junglemap tilbyr, er jeg sikker på at nasjonal sikkerhetsmåned kan danne startskuddet for et større engasjement fra ledelse og styrer rundt cybersikkerhet.

 

Geir Aasen
CISO Junglemap

Artikkel   12 september 2024