Att företag köps, säljs, slås samman och delas upp är en marknadsekonomisk självklarhet. I de flesta fall är lärdomen man kan dra från sådana transaktioner begränsad till den aktuella branschen.
Verizons pågående köp av Yahoo däremot har fört med sig en insikt om hur informationssäkerhet, eller snarare bristen därav, kan få värden för miljoner att gå upp i rök. Yahoos egen interna granskning kring dataintrången pekar på att ledningen misslyckats med att helt förstå, undersöka och rapportera vidden och vikten av intrången. Det som prioriteras av ledningen och i förlängningen styrelsen tenderar att få fokus.
Har styrelserna tillräckligt med fokus på informationssäkerhet?
I artikeln Why Boards Aren’t Dealing with Cyberthreaths på hbr.com presenterar Yo-Jud Cheng och professor Boris Groysberg nyligen ett försök att svara på frågan varför frågor kring cyberhot inte får mer fokus från våra företags styrelser. Studien bygger på ett par undersökningar där de frågat styrelsemedlemmar om vilka risker de har mest fokus på och hur väl rustade de är inför att hantera sådana risker.
Något som kommer fram i svaren är att riskerna som uppstår runt cybersäkerhet är bara en av många riskfaktorer som styrelser måste ta hänsyn till. Det var även så att ~75% uppfattar sin egen beredskap och förmåga att hantera cybersäkerhetshot som sämre än medel.
I undersökningen Svenskt IT-säkerhetsindex såg vi samma tendens. Informationssäkerhet har inte en given plats på styrelsers bord. Kombinationen av ”en av många” och ”låg förmåga” leder till att cyberhot får låg prioritet. För att effektivt minska risken kring cybersäkerhet behöver förändring börja ända uppe på styrelsenivå.
Börja ställ frågor
Cheng och Groysbergs analys avslutas med ett några exempel på hur en styrelsemedlem aktivt kan börja påverka sin organisation kring cybersäkerhet och på så sätt börja få kontroll på risken. Det första steget är väldigt enkelt, börja ställ frågor kring cybersäkerhetsläget i företaget.
Eller varför inte ställa frågan till CEO om hur företaget kan bli bättre på att ta sitt digitala ansvar?