Det behövs mer säkerhetskompetens inom styrelser för att fatta kloka beslut

I branschen är det en välkänd utmaning att få ledning och styrelse att inte bara ta tag i säkerhetsfrågor, utan även förstå dem. Branschen har ännu inte lyckats. Det har gjorts försök att översätta säkerhetsspråket till en något mer anpassad och lättsmält form, men det tenderar fortfarande att bli för komplext och akademiskt.

Barriären minskar inte heller när vi envisas med ord som riskaptit och risktolerans, speciellt när inte alla förstår riktigt vad orden innebär. Risk är ett mycket relevant och viktigt område men när det presenteras i nya former kan det vara svårt att relatera till. I det långa loppet finns det risk att man tappar bort varandra – eftersom det bli för abstrakt.

För att öka förståelsen tror jag att man ska försöka knyta an till verkligheten så mycket som möjligt; exempelvis hur lång tid det tar för ett organisation att återhämta sig efter en cybersäkerhetsincident.

Just nu ligger den siffran på drygt 70 dagar. Vilka kritiska funktioner och information kan vi klara oss utan i 70 dagar? Vilka klarar vi bara en vecka?  Vilka åtgärder har vi på plats för att mildra ett avbrott?

En annan fråga som jag tycker är viktig för en ledning och styrelse – och som många gånger missas – är frågan kring vad som inte görs, och vilka konsekvenser det får. Det är ju som med allt annat oftast en budgetfråga som kräver prioritering. Men om vi väljer att inte öka förmågan för att till exempel detektera hot och attacker eller höja säkerhetsmedvetenheten ”i år heller”, vad får det för konsekvenser? Är vi redo att leva med den risken utan att kunna mitigera den?

Jag tror att ledningsgrupper behöver ta en dialog om hur mycket investeringar som behöver läggas på att förbättra säkerhetsarbetet varje år. Budgeten kring Sveriges försvar har under de senaste 15 åren varit mycket begränsat. Nu när vi är med i NATO så är det ett krav att minst 2% av BNP läggs på försvarsförmågan. Vem blir första koncern-VD att deklarera ett liknande procentuellt krav för investeringar i digital säkerhet?

Det handlar om att som styrelsemedlem skapa sig en tillräckligt bra förståelse för området.

Som styrelsemedlem måste man ha breda kunskaper och erfarenheter inom bland annat ekonomi och försäljning. Sakkunskap i bolagets kärnverksamhet är också viktigt, men hur är det med kunskaper rörande informationssäkerhet och cybersäkerhet? Ofta är det styrelsen som måste godkänna policydokument, som till exempel en informationssäkerhetspolicy. Hur vet man vilken kontext man ska godkänna den i? Är den inriktningen tillräcklig för att möta hotbilden? Vilka hot står organisationen inför? Frågorna blir många, och här anser jag att det behövs mer kompetens inom styrelser för att fatta kloka beslut och stötta organisationen med rätt inriktning. Det handlar om att som styrelsemedlem skapa sig en tillräckligt bra förståelse för området. Jag tror ingen styrelse skulle tycka att företagsekonomi behöver vi inte någon kompetens inom, vi tar hjälp av en expert när det behövs…

Kanske låter det provocerande, men jag anser att vi behöver ompröva och se till att det sker en förändring där säkerhet prioriteras högt, och utbildning kravställs. Det bör inte längre betraktas som ”nice to have”, utan som något som är kritiskt för att bedriva en verksamhet.