IT-sikkerhed er ledelsens ansvar

Al forretning i en moderne virksomhed drejer sig om IT. Det er derfor, topledelsen har ansvaret for at udstikke rammerne for virksomhedens IT-sikkerhed. Hvis ledelsen ikke tager det ansvar, bliver medarbejderne ladt i stikken i hverdagen.

Risikoappetit. Smag lige på ordet – og sig det så lige igen.

Det lyder på en gang både spændende og farligt – et dilemma, en modsætning, en afvejning, en balance mellem fornuft og hverdag. Ordet risikoappetit er et centralt nøgleord, når vi taler om it-sikkerhed i en virksomhed.

Jo større appetit, virksomheden har på at løbe en risiko, jo sjovere og lettere bliver hverdagen for både ledelse og medarbejdere. Omvendt kan det blive skæbnesvangert for alle parter, hvis risikoen er for høj – og der sker brud på IT-sikkerheden.

”Hvis vi laver for meget IT-sikkerhed, så kan folk ikke arbejde. Hvis vi er for risikoivrige, så risikerer vi at lave ulykker. Det er en balance, og der er kun en gruppe i virksomheden, der kan foretage den afvejning,” siger sikkerhedsdirektør i KMD, Lars Neupart og tilføjer i samme åndedrag:

”Og den afvejning har den absolutte topledelse ansvaret for.”

Der er flere grunde til, at spørgsmålet om risikoappetit ender på ledelsens blankpolerede mahognibord. Den vigtigste er, at digitalisering, IT og tilhørende sikkerhed ikke længere er en service- eller stabsfunktion.

”Der er IT i alt – vi er omgivet af IT. Derfor bliver IT og IT-sikkerhed en central forretningsparameter – og en udfordring for virksomheden og dens medarbejdere,” siger Adam Lebech fra Dansk Industri.

IT er forretning

Ligesom IT er centralt for driften i alle moderne virksomheder, så er udformningen af IT-sikkerheden et kernepunkt, som man ikke kan overlade til IT-afdelingen.

”Vi er i dag forretninger, hvor digitaliseringen ikke laves i IT-afdelingen. Den udformes af ledelsen. Det betyder også, at fokus på it-sikkerhed får en helt anden betydning. Det er vigtigt, at topledelsen tager det ansvar – i dialog med IT-afdelingen,” siger Adam Lebech, der er branchedirektør for det digitale område i Dansk Industri (DI).

Dansk Industri hjælper deres medlemsvirksomheder med at få styr på IT-sikkerheden, og det kan særligt være en udfordring for små og mellemstore virksomheder.

”De kunne godt få en bedre IT-sikkerhed,” lyder det diplomatisk fra Adam Lebech.

Hvis vi laver for meget IT-sikkerhed, så kan folk ikke arbejde. Hvis vi er for risikoivrige, så risikerer vi at lave ulykker. Det er en balance, og der er kun en gruppe i virksomheden, der kan foretage den afvejning, og den afvejning har den absolutte topledelse ansvaret for.

Lars Neupart, sikkerhedsdirektør i KMD.

Virksomhedens færdselsregler

Når Lars Neupart fra KMD taler om virksomhedens IT-sikkerhedspolitik, så plejer han at sammenligne den med færdselsregler.

”Når vi kører i trafikken, er der ingen, der er i tvivl om, at det er en god ide med fælles færdselsregler. Det er faktisk helt rart på forhånd at være enige om, i hvilken side af vejen vi kører – og hvem der skal vige, og hvem der må køre frem,” siger han og tilføjer:

”Sikkerhedspolitikken er de spilleregler, vi sætter op. Spilleregler for anvendelsen af IT i virksomheden. Hvis man ikke sætter dem op, så sejler det.”

Det kan være regler for, hvad medarbejderne må downloade og installere på deres pc og telefon, hvor tit de skal skifte password, hvordan de må opbevare password.

Hvor færdselsreglerne gælder for os alle i hele landet og i mange andre lande, så er det lidt anderledes med IT-sikkerhed. Her giver det mere mening, at hver enkelt virksomhed laver sine egne regler – og at ledelsen skriver virksomhedens IT-sikkerhedspolitik.

”I en vis udstrækning kan virksomheden godt abonnere på samfundets færdselsregler, når det gælder sikkerhed. Der er gode standarder for, hvad der er bedste praksis,” siger Lars Neupart.

Men det holder ikke hele vejen, understreger han.

”Virksomhederne er forskellige, så man kan i praksis ikke bare downloade en sikkerhedspolitik fra nettet. En produktionsvirksomhed har på nogle områder brug for ekstra sikkerhed – på andre områder er sikkerheden ikke så afgørende.”

Også Dansk Industri fraråder standardløsninger.

”Man kan ikke få 100 procents sikkerhed. Man er nødt til at lave en afvejning: hvor har vi behov for høj sikkerhed, og hvor er det mindre vigtigt,” siger Adam Lebech.

Sandhed eller konsekvens

Det bringer os tilbage til ordet: Risikoappetit. Hvor stor en appetit på risiko har virksomheden?

I praksis er strategien en balance mellem to centrale faktorer: Sandsynlighed og konsekvens. Hvor stor sandsynlighed er der for, at ulykken indtræffer – og hvor store vil konsekvenserne være, hvis det sker?

”I virkeligheden kan ulykken ske for hvem som helst. Når vi laver en risikoberegning for en virksomhed, så prøver vi at få et overblik over sammenhængen,” siger Lars Neupart.

En af metoderne er at vurdere sandsynlighed og konsekvens på en skala fra et til fem, og så gange de to tal med hinanden. Det tal giver et overblik over virksomhedens risikoprofil – og giver ledelsen et værktøj til at vurdere de to parametre overfor hinanden.

Balancen mellem arbejde og IT-sikkerhed

Det er måske en overraskelse, at en sikkerhedsekspert som Lars Neupart hører til blandt ”slapperne”. Han vil hellere slippe tøjlerne end opstille stramme sikkerhedsregler.

”Hvis reglerne er rigide og uden gode begrundelser, så forhindrer de folk i at passe deres arbejde. Hvis det bliver for svært at arbejde, så gider jeg heller ikke selv overholde reglerne,” forklarer Lars Neupart.

Adam Lebech fra Dansk Industri kalder udfordringen med IT-sikkerhed for et våbenkapløb, hvor de onde kræfter hele tiden forsøger at være et skridt foran. Samtidig oplever medarbejderne, at de privat kan bruge en række nye tekniske hjælpemidler som for eksempel tjenester i skyen, sociale netværk eller apps på telefonen.

Dem vil de også gerne bruge arbejdsmæssigt.

”Her er det ledelsens opgave at tænke fremad og have en holdning til afvejningen af virksomhedens forretningsmæssige fordele ved nye fleksible tjenester med hensynet til IT-sikkerheden. Hvis man ikke er bevidst og klar i mælet, så risikerer man, at medarbejderne udvikler deres egne løsninger, som skaber værdi for dem arbejdsmæssigt,” siger Adam Lebech og understreger:

”Det er ikke et spørgsmål, om ledelsen eller medarbejderne har ret. Men ledelsen kommer ikke udenom at tage nogle klare beslutninger. Ellers lader man medarbejderne i stikken. Ledelsen er nødt til at tage ansvar og gå ind i en dialog – hvordan understøtter digitalisering vores forretning, og hvornår bliver IT-sikkerhed en hindring,” siger han.

Al forretning i en moderne virksomhed drejer sig om IT. Det er derfor, topledelsen har ansvaret for at udstikke rammerne for virksomhedens IT-sikkerhed. Hvis ledelsen ikke tager det ansvar, bliver medarbejderne ladt i stikken i hverdagen.