Informationssäkerhet på ledningens agenda: Vad varje styrelseledamot behöver veta

Organisationssäkerhet är en ledningsgruppsfråga. Ledningsgruppen vill säkerställa kontinuiteten i företagets verksamhet – och en välskött informationssäkerhet har samma mål. När ledningsgruppen överväger de utmaningar och risker som är förknippade med informationssäkerhet är det bra att förstå några grundläggande saker om cybersäkerhet. Joonatan Vilén, CISO på NetNordic, förklarar vad varje medlem i ledningsgruppen bör vara medveten om när det gäller att bekämpa cyberhot.

Informationssäkerhet och cybersäkerhet är breda och mångfacetterade ämnen som inte alltid är lätta att förstå för en lekman. Vilén använder en enkel låsmetafor för att belysa vikten av säkerhet: Alla förstår varför man har ett lås på sin kontorsdörr och varför ens lokaler bevakas av väktare. En liknande typ av kontroll gäller även förinformationssäkerhet, även om informationen inte direkt går att ta på.

Enligt Vilén är det första och viktigaste när man funderar på säkerhet att identifiera riskerna. Vilken typ av information har företaget? Vad kan vara värdefullt för en angripare? Och vilken betydelse har den här informationen för företagets verksamhet? Man kan bara skydda sig om man vet vilka risker man vill skydda sig mot.

Informationssäkerhet är en fråga och ett ansvar för ledningsgruppen

Lagstiftning och krav från intressenter driver ofta företag att förbättra sin informationssäkerhet. Under de senaste åren har EU-lagstiftning som NIS2-förordningen, som trädde i kraft i oktober 2024, drivit på utvecklingen av företagens informationssäkerhet. Vilén ser NIS2-förordningen, som är ledningens ansvar, som en värdefull drivkraft för att ledningsgruppen ska ta informationssäkerheten på allvar.

”Traditionellt har man kanske sett det som att ansvaret ligger på företagets IT-avdelning, som till exempel köper en dyr brandvägg och tror att det räcker. I verkligheten behöver man övervakning och andra försiktighetsåtgärder utöver brandväggen”, säger Vilén.

Enligt Vilén bör ledningsgruppen kunna utmana organisationen när det gäller säkerhetsnivå och beredskap. Att lägga informationssäkerhet på bordet i styrelserummet är ett vettigt sätt att hålla koll på tiden.

Priset på informationssäkerhet baseras på riskkostnaden

Kostnaden för säkerhetstjänster är en naturlig fråga för företagets ledningsgrupp. Rimligheten i priset för en säkerhetstjänst måste också bedömas mot bakgrund av riskbedömningen: Hur stor är risken och hur stora är de ekonomiska konsekvenserna?

Om det kommer att kosta mycket att realisera risken är det förmodligen värt att investera i att minska den. Enligt Vilén är det lätt att göra en lönsamhetskalkyl, till och med på ett millimeterpapper. Om riskbedömningen verkar svår kan en säkerhetspartner hjälpa dig att bedöma värdet på din information och ge dig en konkret prislapp för att minimera riskerna.

”När kostnaderna för en investering i informationssäkerhet är kända är det lätt att förbereda sig för dem. Förutsägbarhet är en förutsättning för tillväxt i verksamheten”, säger Vilén.

Det är alltid billigare att förbereda sig i förväg än att lappa och laga efter att det värsta har hänt. Det finns naturligtvis kostnader för att städa upp en förorenad miljö, men den större och mest oroande frågan för många är den ryktesskada som orsakas av en cyberattack, som kan få förödande och långtgående konsekvenser.

Ledningens syn på säkerhetsrapportering och partnering bör vara tydlig

Vad bör ett företag kräva av sin säkerhetspartner om risker ska kunna undvikas? Åtminstone rapportering om hur företagets säkerhetsmiljö utvecklas och vad partnern gör i miljön.

Rapporteringen kan ske på många nivåer: Om ett företag har en informationssäkerhetspartner som man nästan aldrig hör av, hur ska man då kunna veta att man får valuta för pengarna? NetNordics säkerhetstjänster bygger på en omfattande rapportering. Experter synliggör vad som har gjorts i miljön. Rapporterna innehåller också en mer allmän del för ledningsgruppen och en mer djupgående genomgång av säkerheten för dem som är insatta i ämnet.

Vilen säger också att det är viktigt att säkerhetsexperten ständigt övervakar branschen och är medveten om de senaste hoten. Cyberangripare är professionella och cyberbrottslighet är idag mer lukrativt än olaglig narkotikahandel – det är mycket välorganiserat och professionellt. Därför måste de som arbetar med cybersäkerhet sträva efter att vara bättre än angriparna. NetNordic följer noga utvecklingen och de nya riskerna i branschen och hjälper sina kunder att förbereda sig för dem.

”Ingen ledningsgrupp vill rapportera en cyberattack i efterhand och erkänna att man inte kände till hotet”, säger Vilén. ”Att hålla sig informerad möjliggör bättre beslut och motiverar budgetering för nödvändiga säkerhetsåtgärder.”

Viktiga lärdomar för ledningsgrupper

• Förstå dina risker: identifiera kritiska tillgångar och sårbarheter.
• Prioritera säkerhet som en ledarskapsfråga: gör cybersäkerhet till en stående punkt på dagordningen.
• Utvärdera kostnader mot risker: investera proaktivt i åtgärder som skyddar din verksamhet.
• Kräv transparens från partners: kräv regelbunden rapportering och insikter från dina säkerhetsleverantörer.
• Ligg steget före hoten: samarbeta med experter som spårar och minskar nya risker.

Proaktiv cybersäkerhet är inte bara en teknisk nödvändighet; det är en strategisk möjliggörare för hållbar tillväxt och rykteshantering. Med rätt fokus, verktyg och partnerskap kan ledningsgruppen visa vägen när det gäller att skydda företagets framtid.

Diskuterar ditt företags ledning informationssäkerhet?

Kundberättelse: Nomentia

Nomentia är kategoriledare inom europeiska betalningar och kontanthanteringslösningar, med ett uppdrag att tillhandahålla unika molnbaserade lösningar. Företaget lägger stor vikt vid datasäkerheten och ser det som ett av sina viktigaste ansvarsområden. I ett försök att stärka sin cyberkapacitet valde Nomentia NetNordic som sin partner och förvärvade en SOC-tjänst som kommer att bidra avsevärt till datasäkerheten och hjälpa till att säkerställa kontinuitet i verksamheten.