CISO – Så ser du till att ledningsgruppen prioriterar cybersäkerhet

Digitaliseringen gör att cybersäkerhet är ett område som blir allt viktigare, men det får inte alltid den prioritet det förtjänar. Det är inte alltid lätt för CISO:n att förklara för ledningsgruppen varför arbetet med cybersäkerhet är så viktigt.

Med allt fler enheter anslutna till Internet ökar de möjliga attackvägarna in till den egna IT-infrastrukturen och alla bolag och myndigheter behöver säkerställa att de gör vad de kan för att undvika en attack. Ett strukturerat arbetssätt med cybersäkerhet är därför något som måste finnas på plats. Men hur går du till väga för att säkra ledningens engagemang? Här några saker du bör ha med dig vid en presentation för ledningsgruppen!

1. Analysera riskerna 

För att ni ska kunna göra rätt prioriteringar i säkerhetsarbetet behövs en riskanalys – en säkerhetsskyddsanalys. Där fastställs vilka som är verksamhetens skyddsvärden, vilka konsekvenser som kan uppstå om dessa skyddsvärden blir attackerade, vad som är hotet och vilka sårbarheter som finns. Baserat på detta kan man sedan föreslå lämpliga skyddsåtgärder! Genom att ställa dig ett antal frågor kan du få fram ett underlag till en säkerhetsskyddsanalys som gör att du kan vara väldigt konkret när du presenterar för ledningen eller IT-chefen. Läs mer här om hur du gör en säkerhetsskyddsanalys!

Det kan också vara så att ni måste uppfylla säkerhetsskyddslagens krav. Säkerhetsskyddslagen (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Lagen gäller även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem. Omfattas ni av denna lag har du ett solklart argument till varför ni måste prioritera er cybersäkerhet!

2. Förklara konsekvenserna

Givetvis måste du berätta om vad konsekvenserna kan bli om ni som bolag försummar cybersäkerheten. Det finns flera kända fall av ransomeware-attacker, såsom Maersk-caset. Men ta gärna med mer närliggande exempel utifrån din analys. Om du till exempel har upptäckt att ni har brister i mjukvaruuppdateringarna så är det mer kommunikativt och övertygande att säga att ”en hacker kan kopiera hela lönelistan och lägga ut den på internet” än att prata om att ett flertal säkerhetsuppdateringar behöver göras. Anpassa alltså konsekvensscenarion utefter er verksamhet och vad ni behöver skydda!

Läs mer om företag och branscher som har använt våra lösningar här!

3. Visa hur ni kan spara pengar

Ett motargument du kan få är: ”Men kostar det inte en hel del att införa ett strukturerat arbetssätt med informationssäkerhet?” Detta är något du snabbt kan svara på genom att förklara att alternativkostnaden vid en attack oftast är mycket högre än investeringen som behövs för högre säkerhet. Med ett ständigt ökande antal attacker är risken för att drabbas förhållandevis hög. Att inte investera i sin cybersäkerhet innebär därför egentligen att man som företag, och ledning, tar en oerhört stor finansiell risk. Fråga ledningen om de verkligen vill ta den risken?

Läs vår guide om när man behöver investera i cybersäkerhet!

4. Lyft fram fördelarna

Det är bra om ledningen förknippar cybersäkerhet med något positivt och okomplicerat. Därför är det viktigt att du avslutar argumentationen med att förklara att ett systematiskt cybersäkerhetsarbete gör att ni kan undvika negativ publicitet, informationsläckage, driftstopp – ni kan helt enkelt undvika flera risker som skulle kunna leda till att ni förlorar affärer.

En annan positiv effekt av strukturerat cybersäkerhetsarbete är att medarbetarna får tillgång till rätt information vid rätt tidpunkt, vilket ofta höjer effektiviteten. Genom att betona dessa och andra fördelar med ett strukturerat cybersäkerhetsarbete blir det enklare att säkra ledningens engagemang.

Är du CISO och vill lära dig mer om hur du kan jobba med cybersäkerhet? Läs vår guide för CISO:s!

Vill du veta mer om vad vi kan erbjuda? Läs mer här!