I 2023 blev der annonceret nye regler i USA og Europa, som stiller højere krav til, hvordan virksomheder skal håndtere og rapportere IT-sikkerhedsproblemer. Den nye undersøgelse, som omfatter 1.800 IT-beslutningstagere i store organisationer verden over, viser, at disse skærpede krav har ført til øget bekymring for det personlige ansvar blandt IT-sikkerhedschefer – noget, der også har fået deres arbejdsgivere til at reagere. I undersøgelsen svarer mere end en tredjedel af virksomhederne, at de vil forbedre den juridiske beskyttelse af deres IT-sikkerhedspersonale. Derudover har mange virksomheder øget deres budgetter til sikkerhed og oplyser, at de sigter mod at forbedre dokumentationen af deres sikkerhedsarbejde.

Behov for tydeligere regler

Marshall Erwin, IT-sikkerhedschef hos Fastly, ser positivt på disse ændringer, men stiller sig tvivlende over for, om de er tilstrækkelige til at beskytte både virksomhederne og deres IT-sikkerhedspersonale:

- Det er godt, at så mange virksomheder nu ændrer deres måde at håndtere ansvarsproblemer på, især når vi kan forvente nye globale IT-forstyrrelser i den overskuelige fremtid. Men juridisk beskyttelse handler om at beskytte virksomhederne mod retlige risici snarere end at opnå forbedret sikkerhed, siger Marshall Erwin, IT-sikkerhedschef hos Fastly.

Han mener også, at det ikke er tilstrækkeligt blot at tegne bedre forsikringer og opdatere dokumenter:

- Vi er nødt til at se ansvarsproblemet som noget, der kan forbedre sikkerheden i praksis. For at lykkes med dette har vi brug for tydeligere regler, der skelner mellem hændelser, som ikke kan forhindres, og dem, der skyldes manglende sikkerhedsrutiner.

Uklart, hvem der bærer ansvaret

Undersøgelsen viser, at næsten halvdelen (46 procent) af organisationerne er usikre på, hvem der har det ultimative ansvar for sikkerhedsrelaterede IT-hændelser. Kun 36 procent har tydeligt definerede roller og ansvarsområder i deres teams.

IT-sikkerhedschefer kan og bør ikke tage alle beslutninger selv. I stedet er det bestyrelsen, der skal spørge sig selv, om de afsætter tilstrækkelige ressourcer til at håndtere de sikkerhedsrisici, som IT-sikkerhedschefen har identificeret. Ansvaret ligger derefter hos den øverste ledelse, siger Marshall Erwin.

Retningslinjer, der fremmer øget sikkerhed

Rapporten konkluderer, at virksomheder skal forberede sig bedre på fremtidige IT-hændelser. Der er behov for tydeligere retningslinjer, der fremmer reelle forbedringer og ikke blot opfyldelse af minimumskrav. IT-sikkerhedschefernes øgede ansvar bør ses som en forbedret mulighed for at udvikle sikkerhedsarbejdet langsigtet i disse organisationer.

Svar fra 1.800 IT-beslutningstagere

1.800 IT-beslutningstagere fra store organisationer i Amerika, Europa og Asien har deltaget i undersøgelsen, som blev gennemført af Sapio Research i september 2024. Samtlige deltagere har direkte indflydelse på cybersikkerhedsspørgsmål i deres organisationer.