SecurityWorldMarket

24.08.2022

– Ledelsen utgjør den største cyber-trusselen

Inge Kampenes, spesialrådgiver, Advansia. Foto: Bjørn H Stuedal, F24 Nordics

– Det største innside-problemet i en organisasjon er en ledelse som ikke erkjenner cybertrusselen. Det sier Inge Kampenes, tidligere generalmajor og sjef i Cyberforsvaret.

15. august tiltrådte Kampenes stillingen som spesialrådgiver hos F24-partner Advansia. Han er klar på at cybersikkerhet er et ledelsesansvar.

– Rammes organisasjonen av et dataangrep, er det kanskje en IT-medarbeider som har oversett en svakhet eller ikke gjort en oppdatering som man skulle. Men i bunn og grunn er det ledelsen som har ansvaret, sier han.

– Alle toppledere i offentlige og private virksomheter og akademia, må forstå cybertrusselen og ta ansvar ved å prioritere ressurser til å sikre sine digitale tjenester og verdier.

Prosess og organisasjon
Kampenes er klar på at cybersikkerhet ikke alene handler om teknologi og brannmurer, men hvordan teknologi og mennesker spiller sammen.

– Cybersikkerhet, som all annen sikkerhet, handler om organisasjonspraksis. Det er et samspill mellom teknologi, organisasjon og ledelse. I siste instans altså et lederansvar.

Verdikjede
Mindre virksomheter har i stor grad sitt fokus på salg og inntjening, og har kanskje ikke verken kompetanse eller ressurser til sikkerhetsarbeid. De forstår kanskje heller ikke sårbarheten og konsekvensene deres manglende sikkerhetskultur kan ha for andre i verdikjeden, sier Kampenes:

– Vi står midt oppe i en rivende digital utvikling som man som bedrift tvinges til å henge med på. Utviklingen går raskt, utstyr kjøpes kanskje inn litt her og litt der, digitale tjenester tas ukritisk i bruk - uten at man forstår de sårbarhetene som følger med. Det tar tid å sette seg inn i og vurdere risiko, og ofte mangler man den nødvendige kompetansen. Mange leverandørbedrifter forstår heller ikke nødvendigvis konsekvensene dette kan ha for deres kunder.

– Derfor er det viktig at du ved evaluering av trusler mot egen virksomhet, også inkluderer underleverandører, ettersom de kan være en vei inn til din virksomhets verdier. Som innkjøper må du stille sikkerhetskrav til dine underleverandører og du må revidere dem. Tilsvarende har de som er underleverandører til andre, kanskje kritisk virksomhet eller infrastruktur, et selvstendig ansvar for å sikre sin virksomhet.

Ansvarliggjøring
Cybersikkerhet som lederansvar, blir også tema når Kampenes den 27. september holder åpningsforedraget på F24s store beredskapskonferanse CIM-konferansen. Blant temaene han vil sette søkelys på, er ansvarliggjøring av ledere.

– Det er en sovepute at manglende cybersikkerhet ikke får konsekvenser for den som har ansvaret – altså øverste leder. Blir en virksomhet angrepet og det viser seg at ledelsen ikke har tatt cybersikkerheten på alvor, må det få konsekvenser – da bør man bytte sjef!



Leverandører
Tilbake til toppen