Ny handbok om cybersäkerhet

Elefanten i styrelserummet är titeln på ett digitalt event om digitalisering och cybersäkerhet som PWC höll i april. Cybersäkerhet är det snabbast växande, och kanske farligaste, hotet mot organisationer idag.

ISA (Internet Security Alliance) har i samarbete med ecoDa (European Confederation of Directors’ Associations, där StyrelseAkademien är Sveriges representant) och AIG tagit fram en handbok för styrelser om cyberrisker. Syftet är att ge styrelseledamöter ett ramverk för att förstå vad cyberrisk är.

I boken presenteras en serie raka frågor som styrelser kan ställa till sina ledningar för att försäkra sig om att deras organisation hanterar dessa frågor strategiskt. Handboken ska även främja det fortsatta arbetet med att ta fram gemensamma principer för cybersäkerhet för företagens styrelser, i Europa och övriga världen.

Sammanfattning av de fem principerna för att hantera cyberrisker

1. Ha ett företagsövergripande perspektiv
Styrelseledamöter måste förstå och närma sig frågan om cybersäkerhet som en del i hela riskhanteringen och inte göra det till enbart en it-fråga.

2. Förstå legala konsekvenser
Styrelseledamöter behöver förstå de regulatoriska och legala konsekvenserna av cyberrisker med hänsyn till just sitt företags specifika omständigheter.

3. Ställ krav och ta hjälp av experter
Styrelserna bör säkerställa att bolaget har tillgång till experter på cybersäkerhet och ställa krav på systematisk och företagsövergripande rapportering av cyberrisker.

4. Cybersäkerhet är en kulturfråga
Styrelse och ledning behöver sätta tonen för cybersäkerhet som en viktig del i företagskulturen. Hur rapport- och responsfunktioner, övervakning och kommunikation med mera fungerar bör utmynna i företagsomfattande ramverk och strategier.

5. Identifiera och hantera risker med tredje part
Styrelsens diskussioner om cyberrisker bör innehålla strategier för att hantera tredje part, till exempel partnerskap, begränsningar etc.

5 råd innan en cyberattack sker

● Utvecklingen går extremt fort – gör regelbundna stresstest av företagets
it-system.
● Ta in cyberexperter. Det räcker inte med it-generalister.
● Ta offline-backuper på hela systemstrukturen, inte bara datan.
● Var hälsosamt paranoid. När it-säkerheten är hög går brottslingarna på den
mänskliga faktorn. Höj den mentala beredskapen genom att utbilda och öva.
● Förbered alternativa kommunikationskanaler. Om hela er vanliga infrastruktur slås ut – hur når ni ut internt och till omvärlden?

 

Text: Mikaela Wollin| Foto: ecoDa

Denna artikel publicerades först i tidskriften Professionellt Styrelsearbete (2020-2)