KPMG har gjennomført undersøkelser som viser at en tredjedel av topplederne mener cyberangrep er en trussel som kan hindre vekst, men bare en fjerdedel tror egen organisasjon er godt nok forberedt.
KPMG har i to store undersøkelser intervjuet toppledere og IT-ledere om deres fremtidsperspektiver, utfordringer og muligheter. Cybersikkerhet er et sentralt tema i disse undersøkelsene, som har blitt utført i en årrekke og analyserer trender over tid.
– I 2018 har de fleste toppledere innsett at det ikke lenger handler om hvorvidt de vil bli utsatt for et cyberangrep, men når. En tredjedel av norske toppledere mener hovedtrusselen for videre vekst er manglende evne til å håndtere cyberrisiko, og de viser mer realisme enn ledere i verden for øvrig. Flere innrømmer i år at de er usikre på hvor godt forberedt de er på å håndtere cybertrusselen, sier Arne Helme, partner og leder for cybersikkerhet i KPMG Norge.
Ulik tro på egen motstandsevne
Trendene i undersøkelsene viser at topplederne i større grad enn før anerkjenner den reelle trusselen, men at de har større tro på egen evne til å stå imot angrep enn det IT-sjefene har. Bare 14 prosent av IT-lederne mener at deres virksomhet er veldig godt rustet for å identifisere og håndtere cybertrusler og hendelser, et godt hakk ned fra 21 prosent i fjor.
– Det betyr at IT-sjefene har betydelig mindre tro på egen motstandsevne enn topplederne, tilføyer Lars-Henrik Gundersen, som er Senior Manager for cybersikkerhet i KPMG.
– Tradisjonelt har gjerne selskapene og deres styrer delegert mest mulig av ansvaret for cybersikkerhet til virksomhetenes IT-avdelinger, og da er dette et veldig interessant funn. Spesielt sett i lys av at 38 prosent av IT-sjefene mener de ikke får nødvendig støtte fra egen toppledelse. Styrene har altså innsett at trusselen er reell, men har i liten grad et aktivt forhold til styring av denne risikoen. Første steg vil være å vurdere cybersikkerhet på lik linje med alle andre risikoer. Sikkerhetssjefen bør være en like naturlig deltaker i styremøtene som finanssjefen, fortsetter han.
Jakter cyberkompetanse
72 prosent av norske toppledere sier spesialister innen cybersikkerhet er de aller viktigste hodene å tiltrekke seg fremover, mens bare halvparten av toppledere i verden for øvrig sier det samme.
– Det er et stort kompetansegap som må fylles, men like viktig er det at virksomhetene jobber målrettet med å beholde sine eksisterende nøkkelressurser og spesialister i et marked hvor mange er på jakt etter cyberkompetanse, påpeker Arne Helme.
– Også er de nødt til å vurdere om den faglige kompetansen kan understøttes gjennom økt digitalisering og automatisering av analyse- og beslutningsstøtte innenfor sikkerhet og risikostyring, tilføyer han.
Siloer til besvær
De cyberkriminelle er innovative og ser på hele spekteret av muligheter når de leter etter sårbarheter. Virksomhetene opererer på sin side ofte fortsatt med en silotankegang.
– Virksomheter ser veldig ofte på ett og ett fagfelt isolert og glemmer det helhetlige perspektivet. Det er helt vesentlig at det settes sammen tverrfaglige team som både forstår de kriminelles motiver og tankesett, kan kartlegge risiko, etablere helhetlige strategier og prioriteringer for sikring av verdier og ressurser, men også har forståelse for de tekniske løsningene, sier Gundersen.
Må forankres i toppledelsen
En annen viktig tendens er at topplederne for hvert år som går opplever en økt sannsynlighet for å bli angrepet eller utsatt for hendelser, parallelt med at de i større grad forstår at evnen til å håndtere det ikke er god nok.
– Styrene og topplederne må ta utfordringene innover seg. De må sette cybersikkerhet på agendaen og sørge for at det blir gjort forebyggende arbeid som kan hindre angrep. De må også sørge for styrke sin egen forsvarsevne slik at de kan begrense skadene når uønskede hendelser oppstår. Mange styrer har diskutert digitaliseringsstrategier lenge, men hvis de skal lykkes med digitalisering må de sørge for å bygge nødvendig evne til å håndtere sikkerhetsutfordringene, forklarer Gundersen.
– Det blir stadig flere samarbeidskonstellasjoner i næringslivet, derfor må selskapene også passe på at hele økosystemet med partnere tar sikkerhet på alvor. Det må bygges en sikkerhetskultur blant egne ansatte, som faktisk står for en stor del av de uønskede hendelsene, bevisst eller ubevisst. Slike hendelser kan i stor grad unngås ved å bygge en god sikkerhetskultur internt. Og ikke minst bør de sørge for å utvikle og ta vare på den verdifulle ressursen som de som jobber med IT-sikkerhet er. Til syvende og sist handler dette om en helhetlig tilnærming som må komme fra toppen, sier de to ekspertene til slutt.
Av Tom Backe, [email protected]