Risiko for pseudo-governance efter de nye bestyrelses-lovkrav om dataetik og IT-sikkerhed

I de nye regler for bestyrelsesansvar har bestyrelsen også ansvar for dataetik og it-sikkerhed. Men hvad gør vi, indtil alle bestyrelser besidder tilstrækkelige it-kompetencer?

Helt centralt er det, at bestyrelsen og direktionen allerede nu forstår konsekvenserne af potentielle it-angreb, ligesom de forstår konsekvenserne af andre strategiske tiltag. Ellers ender det med fine målsætninger og tomme buzzwords i årsrapporten. Det, jeg vil kalde “pseudo-governance”.

Men er bestyrelserne så nødt til at støvsuge markedet for folk, der både har tilstrækkelig tung ledelseserfaring til en karriere som bestyrelsesmedlem – og samtidig har dyb indsigt I it-sikkerhed med baggrund som CISO eller lignende? Det bliver nok svært, eller også er der en håndfuld personer, der får meget travlt med at løbe til bestyrelsesmøder.

Mange professionelle bestyrelsesmedlemmer vil sikkert supplere kompetencerne med kurser i it-sikkerhed og dataetik, og det er en rigtig god ide, men for at få det fulde udbytte i virksomhederne, og for at skabe resultater hurtigt, foreslår jeg at vende bøtten, så it-cheferne lærer at tænke som bestyrelsesmedlemmer.

Kort sagt: It-cheferne skal kunne kommunikere virksomhedens it-sikkerhed i en form, som passer til et bestyrelsesmøde.

Det handler om risikostyring frem for teknologi: Man skal opstille og vurdere konkrete risici, deres sandsynlighed og konsekvenser, og dermed kan bestyrelsen tage stilling til, om selskabet er tilstrækkeligt dækket af.

Min oplevelse er, at mange it-chefer taler om teknologi og it-sikkerhed i et sprog, som bestyrelsen og topledelsen ikke forstår, og det kan føre til forkerte prioriteringer og beslutninger. I sidste ende vil det betyde unødvendigt høj eksponering for hackere og phishing.

Opstil risikomodel

Min anbefaling er at opstille konkrete risici som “bliver vi ramt af ransomware” eller “Hvis vi ikke patcher og opdaterer software hurtigt og godt nok”.

For hver risiko angiver man procent eksponering for virksomheden. Beskriv konkrete konsekvenser af forskellige sikkerhedstiltag og mangel på samme, og lad ledelsen beslutte og prioritere ud fra det, ligesom de gør med øvrige risici i virksomheden.

På den måde bliver ledelsen klædt på til at beslutte og prioritere sikkerhedstiltag og forholde sig til, om virksomhedens “risikoappetit” harmonerer med sikkerheden.

Nogle typiske forhold, som man som bestyrelsesmedlem skal forholde sig til, er for det første, at nogen overgør sikkerheden på nogle punkter, mens man underprioriterer andre ting. 90% af alle sikkerheds-issues er relateret til medarbejdere, men de fleste bruger under 5% af IT-sikkerhedsbudgettet på medarbejderne. Kommer denne prioritering af, at det er nemmere at indkøbe hardware end at ændre sikkerhedskulturen i virksomheden?

En anden ting er, at nogen måske nedtoner risici, fordi de er bange for at sige til bestyrelsen, at virksomheden har en risikabel situation. Det bliver desværre til et væddemål med de it-kriminelle om, hvornår de vil slå til. Hvis status altid er “grøn” på alle risici som bestyrelsen hører om, skal man overveje, om det er korrekt. Det kan være et kulturspørgsmål, om man som CISO tør påpege alvorlige mangler og sårbarheder.

Min anbefaling for at komme hurtigt i gang er at kigge ned i organisationen og finde dem, der kan oversætte mellem teknikerne og topledelsen, så topledelsen får en realistisk mulighed for at lave nogle kvalificerede prioriteringer på it-sikkerhed.