2023 aviserades nya regler i USA och Europa som ställer högre krav på hur företag måste hantera och rapporterar IT-säkerhetsproblem. Undersökningen, som omfattar 1 800 IT-beslutsfattare i stora organisationer världen över, visar att dessa skärpta krav har lett till ökad oro för det personliga ansvaret bland IT-säkerhetschefer – något som också har fått deras arbetsgivare att vilja agera. I studien svarar mer än en tredjedel av företagen att de ska förbättra det juridiska skyddet för sin IT-säkerhetspersonal. Därtill har många företag ökat sina budgetar för säkerheten och uppger att de siktar på att förbättra dokumentationen av sitt säkerhetsarbete.
Behov av tydligare regler
Marshall Erwin, IT-säkerhetschef på Fastly, ser positivt på sådana förändringar, men ställer sig tveksam till om de räcker för att skydda både företagen och deras IT-säkerhetspersonal.
– Det är bra att så många företag nu förändrar sitt sätt att hantera ansvarsfrågor, särskilt när vi kan förvänta oss nya globala IT-störningar under överskådlig tid. Men juridiskt skydd handlar om att skydda företagen från rättsliga risker snarare än att åstadkomma förbättrad säkerhet, säger Marshall Erwin, IT-säkerhetschef på Fastly.
Han menar också att det inte räcker med att teckna bättre försäkringar och uppdatera dokument.
– Vi behöver se ansvarsfrågan som något som kan förbättra säkerheten i praktiken. För att lyckas med detta behöver vi tydligare regler som skiljer mellan incidenter som inte går att förhindra och de som beror på bristande säkerhetsrutiner.
Otydligt vilka som bär ansvaret
Undersökningen visar att nästan hälften (46 procent) av organisationerna är osäkra på vem som har det yttersta ansvaret för säkerhetsrelaterade IT-incidenter. Bara 36 procent har tydligt definierade roller och ansvarsområden i sina team.
– IT-säkerhetschefer kan och bör inte ta alla beslut själva. Istället är det styrelsen som måste fråga sig om de avsätter tillräckliga resurser för att hantera de säkerhetsrisker som IT-säkerhetschefen har identifierat. Ansvaret ligger därefter hos högsta ledningen, säger Marshall Erwin.
Riktlinjer som driver på för ökad säkerhet
Rapporten drar slutsatsen att företag måste förbereda sig bättre inför framtida IT-incidenter. Det behövs tydligare riktlinjer som driver på verkliga förbättringar, inte bara uppfyllande av minimikrav. IT-säkerhetschefernas ökade ansvar bör ses som en förbättrad möjlighet att utveckla säkerhetsarbetet långsiktigt i dessa organisationer.
Svar från 1800 IT-beslutsfattare
1 800 IT-beslutsfattare från stora organisationer i Amerika, Europa och Asien har deltagit i undersökningen, som genomfördes av Sapio Research i september 2024. Samtliga deltagare har direkt inflytande över cybersäkerhetsfrågor i sina organisationer.
.jpg?w=170&action=fill&sh=fe2fb "Artpec-9 är först inom nätverksvideo med stöd för den beprövade videokodningsstandarden AV1 från Alliance for Open Media (AOM).")
.jpg?w=170&action=fill&sh=ae055 "Kettil Stenberg ser fram mot att leda Garda Group mot fortsatt tillväxt.")
.jpg?w=170&action=fill&sh=cd23b "Den avancerade krypteringsteknologin i RCO Secur-card gör att obehöriga inte kan återskapa eller kopiera korten.")
Global
