Ledningens ansvar och styrning av IT-säkerhetsrisker

Styrelsen är ansvarig för verksamhetens IT-säkerhet

Cybersäkerhet är och bör vara en prioriterad fråga hos ledningen i varje företag idag, då en cybersäkerhetsincident kan orsaka stora direkta kostnader för åtgärdande och återställande samt även juridiska påföljder och indirekta kostnader för skadat rykte. Ledning och styrelse bör vara medvetna om hur arbetet med cybersäkerhet fortgår och vilka risker som finns.

Genom att implementera grundläggande säkerhetsfunktioner kommer man långt i sitt arbete med IT-säkerhet. En del är tekniska lösningar som görs av IT-avdelningen, och för ett litet till mellanstort företag är även en del av funktionerna färdiga som en del av offentliga molnlösningar som till exempel Microsoft 365.

Exempel på grundläggande säkerhetsfunktioner

Multifaktorautentisering
Zero Trust
Utökad upptäckt och antimalware-program
Uppdaterade servrar och arbetsstationer
Lösningar för dataskydd

Cybersäkerhetsramverket (CSF) version 2.0 är den senaste publikationen från National Institute of Standards and Technology (NIST). Ramverket har sen tidigare fem grundläggande funktioner: Identifiera, Skydda, Upptäcka, Svara och Återställa. i senaste versionen har Styrning (Govern) lagts till.

För att säkerställa en framgångsrik strategi i hanteringen av cybersäkerhetsrisker, bör styrning vara på plats. Styrning gäller alla typer av företag, inte bara de som påverkas av NITS-regleringar eller en viss storlek. Styrning är där för att säkerställa att ditt företag har en cybersäkerhetspolicy, tydliga ansvarsområden, planer för hur man ska agera och säkerställa att det finns resurser för att implementera dessa metoder. Samt att det finns en förståelse och acceptans av företagets säkerhetsrisker.

Läs mer om NIST här

Inled med en analys för effektiv styrning

Analysen hjälper dig att förstå hur ett cybersäkerhetsbrott kan påverka ditt företag och vilka cybersäkerhetsskyldigheter du har i termer av lag, förordning och kontrakt. Vilka procedurer, regler, metoder och tekniska lösningar som implementeras och följs.

Bedömning bestämmer de viktigaste affärsresurserna och processerna och utforskar hur en fullständig eller delvis förlust av dem skulle påverka organisationen. Här bör man även över hur cybersäkerheten hanteras hos ens leverantörer och andra tredje parter.

Analys och utvärdering ger ditt företag nödvändig information för att genomföra en utvärdering av cybersäkerhetsrisker. Vilka är de potentiella hoten, hur sannolika är de att inträffa och vad är ditt företags nuvarande åtgärder för att minska dessa risker?

Nästa steg i arbetet är att lista cybersäkerhetsriskerna enligt analysen och hantera dem tillsammans med andra affärsrisker. Viktigt att ha ledningens stöd i arbetet med cybersäkerhetsrisk och policyer för att säkerställa kommunikation samt att det finns nödvändiga resurser för åtgärder i relation till riskreducering.

Viktigt att vara medveten om att arbetet med att hantera cybersäkerhetsrisker inte kommer att sluta, utan behöver ses över och uppdateras regelbundet. Affärskontinuitetsplan (BCP) är ett ramverk för som kan hjälpa ens företag med det.

Hantering av IT-Risker för ledningen

Ledningen bör idag ha en god översyn av verksamhetens IT-risker. Frågor man bör ställa sig är om det finns en risk-strategi där risker har identifierats, utvärderas och accepteras.

Praktiskt exempel där vi utgår ifrån affärssystemet och de frågor man bör ställa sig.

Vilka kritiska affärsprocesser är beroende av affärssystemet, hur påverkas processerna om systemet inte är tillgängligt under ett kortare och längre avbrott.
Vilken typ av data hanteras i systemet och hur kritisk är den. Vad händer om data läcker ut, eller blir krypterad.
Risker och bedömningar gjorda från ett verksamhetsperspektiv bör sedan sättas i relation till. Finns IT-säkerhets styrningen och de tekniska lösningarna på plats för att för att hantera riskerna på förväntad nivå?