Klodernes kamp

IT vil tale i begreber og trusselsbilleder, - og ofte i et underforstået fagsprog med mange forkortelser og begreber. Bestyrelsen derimod vil fokusere på tal, strategi, markedsværdi, markedsandele og vækst.

Nixu Security Adviser Michael Krumbak påpeger nogle af kerneproblematikkerne og giver her nogle gode råd, når IT med bestyrelsen og topledelsen i virksomheden, skal diskutere strategiske prioriteringer og budgetter omkring Cybersikkerhed, Governance og Compliance: 

"Igennem mine mange års erfaring, ser jeg f.eks. i dialogen mellem IT og bestyrelse et klassisk problem når manglende gensidig forståelse af prioriteringer opstår, siger Michael Krumbak og fortsætter - Ofte er det vanskeligt for den IT-ansvarlige , at demonstrere sammenhængen mellem forretning og IT. Dette kan blandt andet skyldes at den IT ansvarlige ikke har virksomhedsledelseserfaring og indsigt i hvor forretningen bevæger sig hen og/eller ikke har stærke kundskaber indenfor hård argumentation. ”jeg er jo ikke ansat som sælger”, vil de fleste IT folk forsvare sig med. Resultatet er at ledelse og IT kommer til at koeksistere i separate systemer, uden synlig afhængighed og sammenhæng. Der etableres ikke gensidig forståelse for den overordnede sammenhæng."

"Det hele hænger sammen, uanset om man har formået at demonstrere det eller ej. Hvis IT ikke performer til forventningerne, så går det ud over forretningen – og omvendt. Det er derfor vigtigt når IT kommunikerer til bestyrelsen at anvende let forståelige begreber, men også at forstå bestyrelsens fokus og hvordan digitale tiltag, Cybersecurity, Governance og Compliance griber ind i det fokus og styrker virksomhedens position, robusthed og stabilitet. Det skal bestyrelsen til gengæld også facilitere og åbne op for at IT-afdelingen får muligheden for. Derfor er det så vigtigt at IT- afdelingen deltager og høres når de vigtige beslutninger for virksomheden skal tages." 

Michael fortsætter:
"Det er naturligvis lettere sagt end gjort, for der går meget hårdt arbejde ind i at undersøge – og forstå - bestyrelsens eller topledelsens verden, så det bliver der ofte ikke brugt tid nok på fra IT eller Sikkerheds side. Ærgerligt, da det er en forudsætning for at vide, hvad der driver organisationen til at forstå og investere i IT og sikkerhed og det hjælper til fastsættelse af den rolle IT og sikkerhed, skal spille i organisationens vision og strategi. Her er Nixu’s ESL (eksamineret Sikkerhedsleder)- uddannelse, særdeles relevant, idet at den netop også understøtter CISO’en i hvordan man kommunikerer omkring cyber-sikkerhed. God forståelse af disse, er en vigtig forudsætning for at kunne demonstrere værdi."

"F.eks. ser vi ofte IT og sikkerhedsafdelinger rapportere (til ledelsen) ”ting de kan tælle” - altså helt objektive informationer i form af rå data, som er indhentet fra infrastruktur, platforme, applikationer osv. - direkte til deres ledelser, med en forventning om at ledelsen selv kan fortolke og træffe beslutninger på dette grundlag. Michael Krumbak fortsætter, -Det er en misforståelse, vi kender ingen forretningsledere der er gået ind i forretning eller ledelse, for at arbejde med sikkerhed eller compliance. Det er simpelthen ikke deres motivationsfaktor. Sikkerhed, IT og compliance vil altid være en sekundær ting for dem og sådan skal det være, for alt den energi ledelsen bruger på sikkerhed, IT og compliance bliver taget væk fra det primære; at drive forretningen."

"For IT afdelingens vedkommende, kan man ofte se problematikker, trusler, svagheder og huller, men det kan være svært at fortælle om konsekvenser og risici holdt op imod forretningsplaner, positionering i markedet og vækststrategi."

"Med en god forståelse af ledelsens univers, bliver det en overkommelig opgave at fortolke de objektive, rå data og pakke dem ind i en kontekst der gør rapporteringen langt mere forståelig, relevant og dermed interessant for ledelsen."

"Nixu’s opfordring til IT og sikkerhedschefer derude er: Husk regelmæssigt at investere tid i at forstå den verden I er en del af, forstå vision, mission og marked, og forstå hvad der driver IT og sikkerhed i organisationen. Forstå de strategiske mål og ikke mindst hvordan IT og sikkerhed bidrager. Jo bedre I forstår disse ting, desto bedre bliver dialogen med ledelsen, uanset om det er rapporteringer, budgetmøder eller anmodning om flere penge."

"Tag udspring i forretningens kernekompetence og kerneværdier. Hvad ønsker forretningen?"

"Hvor ser bestyrelsen virksomheden placeret i markedet? Hvor ønsker man at være om mellem 2 og 5 år? Hvilke forretningsområder, deraf afledte systemer og funktioner, vurderes mest kritiske eller væsentlige som virksomhedens ansigt ud ad til?
Hvad er vækstplanerne- evt. nye markedsområder i nye lande?
Kontinuitet- hvilke afdelinger og systemer skal dermed prioriteres højest og i hvilken en rækkefølge?"

"Ser man fra den vinkel og skal man som sikkerhedsrådgiver komme med anbefalinger, så er det langt nemmere at ramme ned i de aktuelle behov, forklare og sandsynliggøre dem.
Undgå så vidt muligt i sikkerhedsrapporter og kommunikation til C-level og bestyrelser IT faglige forkortelser, med mindre at man ved at alle forstår dem. Brug i stedet forkortelsernes oprindelige betydning eller forklarende begreber."

"Man kan med fordel lægge ud med at forklare trusselbilledets mulige påvirkning på virksomheden prioriterede fokusområder, tænkte scenarier omkring tyveri af data, Cybersikkerheds-angreb, Ransomware, tab af persondata, eller generelle tab af data, konsekvens af manglende compliance, konsekvens af manglende teknologi osv."

Nixu Security Business Manager Mette Nikander stemmer i og understreger, hvordan mindre sikkerhedskompetente medarbejdere i alle led af virksomheden, kan skade virksomhedens sikkerhed, omdømme, samarbejdspartnere, forretning eller endda eksistens, hvorfor der i stor grad derfor bør prioriteres omkring Cybersecurity Awareness og kompetenceudvikling, som kan være en af de lavest hængende frugter- også rent økonomisk.

Mette Nikander adderer: "En kompetent vidende organisation og ledelse står stærkere og kan også træffe bedre strategiske valg. De bedste resultater ses når man får masseret en sikkerhedskultur ind i organisationen. Det kan være gennem motiverende undervisning og øvelser, simulerede phishingforsøg, gentagne opfordringer om små gode vaner, indførelse af Awareness og GDPR compliance som et fast punkt på møder, hvor man ser på mødeindholdets effekt på Privacy, sikkerhed og kultur og ja måske endda laver udfordringer med f.eks. lejlighedsvise Security- Escape-Room øvelser og små konkurrencer mellem afdelingerne.
Dertil kommer at det at være en resilient organisation, med klare holdninger, også kan bruges i PR som et stærkt parameter, der konsoliderer virksomheden og dens image."

"Det kan være svært at vide, hvor man skal begynde og hvordan man skal prioritere. Det er på det felt at Nixu har dygtige og erfarne kompetencer, der kan hjælpe til de gode strategiske valg og tiltag."