Digitaliseringen har lett till att cybersäkerhet har blivit allt viktigare, men den får inte alltid den prioritet den förtjänar. Det är inte alltid lätt för CISO att förklara för ledningsgruppen varför det är så viktigt att arbeta med cybersäkerhet.
Med fler och fler enheter anslutna till Internet ökar möjliga attackvägar in i IT-infrastrukturen. Alla företag och myndigheter måste se till att de gör vad de kan för att undvika en attack. Ett strukturerat förhållningssätt till cybersäkerhet är därför något som måste finnas. Men hur går man tillväga för att säkra ledningsgruppens engagemang? Här är några saker att tänka på under en presentation för ledningsgruppen!
1. Analysera riskerna
För att du ska kunna göra rätt prioriteringar i ditt säkerhetsarbete behövs någon form av riskanalys – en skyddssäkerhetsanalys. Den bestämmer verksamhetens skyddsvärden, vilka konsekvenser som kan uppstå om dessa skyddsvärden angrips, vad hotet är och vilka sårbarheter som finns. Utifrån detta kan sedan lämpliga skyddsåtgärder föreslås! Genom att ställa dig själv ett antal frågor kan du leverera en säkerhetsskyddsanalys som gör att du kan vara väldigt konkret när du presenterar för ledningsgruppen eller IT-chefen.
Du kanske måste uppfylla kraven i lagen om skyddssäkerhet. Lagen om skyddssäkerhet (2018: 585) innehåller krav på åtgärder som syftar till att skydda information som är viktig för Sveriges säkerhet, eller som ska skyddas i enlighet med ett internationellt åtagande om säkerhetsskydd. Lagen gäller även skydd av annan säkerhetskänslig verksamhet, till exempel för samhället viktiga informationssystem. Om du omfattas av denna lag har du ett tydligt argument för varför du måste prioritera din cybersäkerhet!
2. Förklara konsekvenserna
Du måste avslöja vilka konsekvenserna kan bli om du slarvar med cybersäkerhet. Det finns flera kända fall av ransomware-attacker, till exempel Maersk-fallet. Du kan också ta med mer relevanta exempel baserat på din analys. Om du till exempel har upptäckt att du har brister i dina programuppdateringar är det mer kommunikativt och övertygande att säga att “en hackare kan kopiera hela lönelistan och lägga ut den på internet” än att prata om behovet av flera säkerhetsuppdateringar . Så, anpassa scenariot för konsekvenser till ditt företag och vad du behöver skydda!
Läs mer om företag och branscher som använt våra lösningar här!
3. Visa hur du kan spara pengar
Ett motargument man kan få är: “Men kostar det inte mycket att införa ett strukturerat arbetssätt med informationssäkerhet?”. Detta är något du snabbt kan svara på genom att förklara att kostnaden för en attack vanligtvis är mycket högre än investeringen som behövs för högre säkerhet. Med ett ständigt ökande antal attacker är risken att drabbas relativt stor. Att inte investera i din cybersäkerhet innebär därför faktiskt att du tar en extremt stor ekonomisk risk. Fråga ledningsgruppen om de verkligen vill ta den risken?
Läs vår guide om när du behöver investera i cybersäkerhet!
4. Höj fördelarna
Det är bra om ledningen förknippar cybersäkerhet med något positivt och okomplicerat. Därför är det viktigt att du avslutar presentationen med att förklara att ett systematiskt cybersäkerhetsarbete gör att du kan undvika negativ publicitet, informationsläckage, driftstopp – du kan helt enkelt undvika flera risker som kan leda till förlorade affärer.
En annan positiv effekt av ett strukturerat cybersäkerhetsarbete är att medarbetarna har tillgång till rätt information vid rätt tidpunkt, vilket ofta ökar effektiviteten. Genom att lyfta fram dessa, och andra fördelar med ett strukturerat cybersäkerhetsarbete, blir det lättare att säkra ledningens engagemang.
Arbetar du som CISO och vill lära dig mer om att arbeta med cybersäkerhet? Läs vår guide för CISO!
Vill du veta mer om vad vi kan erbjuda?