Deutsch
Francais
Nederlands
Svenska
Norsk
Dansk
Suomi
Espanol
Italiano
Portugues
Magyar
Polski
Cestina
Русский
Cybersikkerhet er en utfordring som angår ikke bare teknologer, men også bedriftsledere, styremedlemmer og finansielle institusjoner. De siste årene har mange nasjonale og internasjonale reguleringer blitt innført for å sikre beskyttelsen av privat data og for å redusere risikoen for cyberangrep. Et godt eksempel på dette er den europeiske personvernforordningen (GDPR) som ble revidert i 2018. GDPR stiller strenge krav til innsamling og behandling av data i både europeiske og ikke-europeiske organisasjoner. Blant de viktigste kravene er strengere databeskyttelse, forpliktelser til å innhente samtykke fra eierne av dataene, og omfattende krav om varsling ved brudd på sikkerheten. Overholdelse av disse reglene kan medføre strenge straffer, inkludert bøter på opptil 4 % av en bedrifts globale inntekter ved manglende etterlevelse.
Den eksterne rekkevidden av GDPR, som også gjelder organisasjoner utenfor EU, har vært en viktig faktor for dens effektivitet. På samme måte har det amerikanske departementet for finansielle tjenester i New York (DFS) utviklet egne omfattende reguleringer for cybersikkerhet i selskaper som opererer i USA. DFS pålegger selskaper innen forsikring, bank og finans å utvikle og implementere et cybersikkerhetsprogram som beskytter kundenes private data. Dette programmet må godkjennes av styret eller de øverste lederne i institusjonen, og årlig sertifisering for samsvar er påkrevd for å vurdere programmets effektivitet.
I tillegg til disse kravene har Securities and Exchange Commission (SEC) i USA intensifisert fokus på rapportering av datainnbrudd og offentliggjøring av markedsrisiko. I 2011 utstedte SEC veiledning for cybersikkerhetsrapportering, som påla børsnoterte selskaper å opplyse om cyberrisikoer som kan påvirke investeringene. Denne veiledningen ble revidert i 2018 for å gi ytterligere klarhet, og spesifiserer krav om at selskaper skal informere investorer om eventuelle cyberrisikoer som kan ha alvorlige konsekvenser for forretningsdriften. Videre inkluderer retningslinjene et skarpt fokus på styrets ansvar for å overvåke cyberrisikoene, og de understreker nødvendigheten av å forhindre innsidehandel basert på informasjon om cybersikkerhetshendelser som ikke er offentliggjort.
For at styrende organer skal kunne håndtere cybersikkerhet effektivt, kreves en dyptgående forståelse av både organisasjonens struktur og den globale risikosituasjonen. Cybersikkerhetsstyring handler om å etablere, vedlikeholde og overvåke tiltak som skal hindre og redusere skadene ved cyberangrep. Men i mange organisasjoner er det fortsatt en betydelig utfordring å implementere et effektivt rammeverk for cybersikkerhet.
De viktigste prinsippene for god cybersikkerhetsstyring, som er utviklet av Governance and Standards Division (2017), inkluderer flere kritiske aspekter. For det første må styret og ledelsen ha en klar forståelse av hvordan cyberkriminalitet og cyberkrigføring kan påvirke organisasjonen. De må se på cybersikkerhet som et sett med nødvendige tiltak for å beskytte organisasjonen mot disse truslene. Videre må de identifisere risikotoleransen for organisasjonen og vurdere hvordan cybertrusler kan påvirke driften.
Et annet viktig aspekt er forståelsen av organisasjonskultur og individuell atferd. De ansatte og sluttbrukernes vaner og interaksjoner kan ha stor innvirkning på organisasjonens cybersikkerhetsrisikoer. Styret og ledelsen må derfor sørge for at organisasjonens cybersikkerhetstiltak tar hensyn til de kulturelle og atferdsmessige faktorene som kan påvirke hvor sårbare de ansatte er for angrep, enten det er gjennom phishing eller andre former for sosial manipulering.
Videre bør ledelsen klart definere forretningsargumentet for cybersikkerhet, som blant annet involverer kostnad-nytte vurderinger og organisasjonens risikotoleranse. Dette vil i stor grad avgjøre hvilke sikkerhetstiltak som blir implementert. Det er også avgjørende at styret utvikler klare retningslinjer, policyer og prosedyrer for cybersikkerhet, slik at både ledelse og ansatte har en klar forståelse av sine roller og ansvar når det gjelder å forhindre cybertrusler.
Men det er ikke bare i de store organisasjonene at cybersikkerhet er viktig. Selv små og mellomstore bedrifter må være bevisste på risikoene. Mange små selskaper tror at de ikke er mål for cyberangrep, men statistikk viser at de ofte er mer sårbare på grunn av mangel på tilstrekkelig beskyttelse. Det er avgjørende at alle nivåer i en organisasjon er involvert i arbeidet med cybersikkerhet, fra toppledelsen til de ansatte på gulvet.
Sluttbrukeropplæring er også et essensielt element. Ingen mengde programvare kan erstatte ansattes bevissthet om truslene som finnes. Å lære opp de ansatte i hvordan de kan identifisere farer som phishing-e-poster eller uvanlige programvaremeldinger er en god forebyggende strategi. Videre er det viktig å implementere regelmessige sikkerhetsgjennomganger og teste sikkerhetssystemene for å sørge for at de fungerer som de skal.
Cybersikkerhet er et kontinuerlig arbeid som krever årvåkenhet og vedvarende investering i både teknologi og menneskelige ressurser. For å være godt beskyttet må organisasjoner integrere cybersikkerhet i sin daglige drift, og forstå at det ikke er nok å kun ha tekniske løsninger på plass. Det kreves en helhetlig tilnærming som involverer ledelsen, styret, de ansatte og alle berørte parter for å skape en robust forsvarslinje mot trusler som stadig utvikler seg.
Hvordan styret kan håndtere miljømessige, sosiale og styringsmessige risikoer i organisasjoner
I dagens forretningsverden har styrene fått en økt ansvar for å håndtere risikoer som kan ha alvorlige konsekvenser for organisasjonen. En av de mest fremtredende risikoene som styrene nå må håndtere, er miljømessige, sosiale og styringsmessige (ESG) risikoer. Dette omfatter alt fra klimarisikoer, arbeidsforhold og forbrukersikkerhet, til ledelsesstruktur og beredskapsplaner ved store katastrofer. Å forstå og håndtere disse risikoene på en effektiv måte er ikke bare et etisk ansvar, men også en nødvendighet for å sikre organisasjonens langsiktige bærekraft og vekst.
For å kunne håndtere ESG-risikoene på en god måte, er det avgjørende at styret er godt informert om hvordan disse risikoene kan påvirke organisasjonens strategi, drift og omdømme. Det er også viktig at styret er kjent med de ulike rapporterings- og rammeverkene som finnes for å vurdere og håndtere ESG-risikoer, slik at disse kan integreres i organisasjonens forretningsmål. Flere rapporter og rammeverk, som de utgitt av Ernst & Young Center for Board Matters, gir viktige retningslinjer for hvordan styret kan gjøre dette.
Først og fremst bør styret sikre at organisasjonens juridiske rådgiver har god kjennskap til teknologi og cybersikkerhet, da dette er et område som stadig blir mer viktig for å håndtere både miljømessige og sosiale risikoer. Et styre som har god forståelse av teknologiske systemer og deres rolle i risikostyring, vil kunne reagere raskere og mer effektivt på eventuelle hendelser som kan oppstå.
Videre er det avgjørende at styret bygger relasjoner med andre organisasjoner og byråer som deler informasjon om relevante risikoer. Dette kan bidra til å holde styret informert om potensielle trusler, både interne og eksterne, som kan påvirke organisasjonen. Styremedlemmene må også ha tett kontakt med politimyndigheter og andre relevante instanser for å kunne reagere raskt dersom et problem skulle oppstå.
Når det gjelder ESG-risikoer, er det ikke lenger tilstrekkelig å bare reagere på eksisterende trusler. Styret må aktivt jobbe for å forebygge og minimere disse risikoene gjennom proaktive tiltak. Dette kan omfatte utvikling av beredskapsplaner for naturkatastrofer, som klimaendringer, og evaluering av alternative energikilder og forsyningskjeder. Videre må styret være forberedt på å vurdere og håndtere risikoer knyttet til arbeidsstandarder og produktkvalitet, som har blitt stadig viktigere for både forbrukere og investorer.
Det er viktig å merke seg at offentlige holdninger til selskapenes rolle i å håndtere ESG-risikoer har utviklet seg betydelig de siste årene. I dag forventes det at styret ikke bare tar ansvar for å beskytte selskapet mot potensielle skader, men også aktivt jobber for å fremme bærekraftige praksiser som gagner både selskapet og samfunnet. Investorer, spesielt de institusjonelle, legger stor vekt på hvordan selskaper håndterer ESG-risikoer, og deres synspunkter kan i stor grad påvirke selskapets omdømme og aksjeverdi.
I praksis betyr dette at styret bør etablere en struktur som gjør det mulig å håndtere ESG-risikoer på en systematisk og kontinuerlig måte. Dette innebærer å utvikle interne prosedyrer for å vurdere, overvåke og håndtere risikoer på tvers av alle deler av organisasjonen. Styret bør også vurdere å opprette spesifikke komiteer, som et bærekraftig utviklingskomité eller et samfunnsansvarskomité, som har ansvar for å håndtere spesifikke ESG-relaterte problemer.
Det er også viktig at styret samarbeider tett med ledelsen for å identifisere de ESG-områdene som er viktigst for selskapets langsiktige suksess. Dette kan inkludere å vurdere hvordan selskapets forretningsdrift påvirker miljøet, arbeidsvilkårene for de ansatte og samfunnets generelle velferd. Når disse områdene er identifisert, bør styret og ledelsen utvikle prosedyrer og retningslinjer for å håndtere dem på en måte som er i samsvar med selskapets overordnede mål.
Til slutt er det viktig at styret sørger for at det blir utarbeidet regelmessige rapporter om hvordan selskapet håndterer ESG-risikoer, og at disse rapportene deles med aksjonærer, investorer og andre relevante parter. Denne typen åpenhet og ansvarlighet er essensiell for å bygge tillit og sikre at selskapet er i stand til å håndtere fremtidige utfordringer på en bærekraftig måte.
Hvordan bør styret håndtere cyberrisiko i organisasjoner?
I en tid hvor cybersikkerhet stadig blir en mer sentral del av organisasjoners drift, er det viktig at styrene utvikler en dyp forståelse for sitt ansvar når det gjelder å håndtere cyberrisiko. De kan ikke lenger stole på at ledelsen alene tar hånd om disse spørsmålene, men må aktivt bidra til å etablere strategier og systemer for å møte de stadige truslene. Dette krever et rammeverk for cybersikkerhet og en forståelse for de nødvendige organisatoriske endringene for effektiv risikostyring.
En av de viktigste tilnærmingene til å håndtere cyberrisiko er utviklingen av et solid rammeverk for cybersikkerhet. Det nasjonale instituttet for standarder og teknologi (NIST) i USA har utviklet et rammeverk for å forbedre cybersikkerheten i kritisk infrastruktur. Dette rammeverket fungerer som en veiledning for styrene, og tilbyr beste praksis og standarder for å håndtere cyberrisiko. Selv om rammeverket ikke er obligatorisk for organisasjoner, har flere interessenter ment at det bør være en grunnleggende standard for utviklingen av cybersikkerhetspraksiser på tvers av bransjer. Styrene kan enten bruke NISTs rammeverk direkte eller samarbeide med ledelsen for å utvikle et rammeverk som er tilpasset selskapets spesifikke behov og policyer.
En annen viktig faktor er kompetansen til styremedlemmene. Mange styreledere har ikke nødvendigvis den tekniske ekspertisen som trengs for å vurdere de sikkerhetstiltakene som ledelsen implementerer. Dette skaper en kompetansegap som kan hindre effektiv risikostyring. For å møte dette gapet har flere selskaper begynt å tilby opplæring i cyberrisiko til sine styremedlemmer. I tillegg anbefales det at styret inkluderer medlemmer med solid teknisk forståelse, spesielt når det gjelder IT-relaterte risikoer. En annen strategi som har blitt foreslått er å opprette et eget cyberrisikoutvalg, gjerne ledet av en tidligere Chief Information Security Officer (CISO), som kan fokusere på cybersikkerhet på et mer detaljert nivå. Dette vil bidra til at cybersikkerhet får økt oppmerksomhet og de nødvendige ressursene, og dermed styrke organisasjonens evne til å håndtere cyberrisiko på en mer effektiv måte.
Styret har et ansvar for å sørge for at det finnes kompetent personell på plass for å håndtere cyberrisiko. I noen organisasjoner har man valgt å ansette dedikerte fulltidsansatte som arbeider spesifikt med cybersikkerhet og som rapporterer direkte til ledelsen. Studier har vist at organisasjoner som har en CISO på heltid, og som har tilstrekkelig ressurser til å håndtere cyberhendelser, er i stand til å oppdage flere angrep og redusere de økonomiske konsekvensene ved slike hendelser. Styrene bør derfor vurdere å tildele spesifikke personer fullstendig ansvar for cybersikkerhet i organisasjonen, for å sikre at de nødvendige tiltakene iverksettes og vedlikeholdes.
Uavhengig av hvilket rammeverk som velges, må styret sørge for at organisasjonen er forberedt på de uunngåelige cyberangrepene som vil komme. En organisasjons evne til å håndtere konsekvensene av slike angrep avhenger sterkt av hvor godt forberedt den er. Jo raskere organisasjonen kan reagere på et cyberangrep, desto mindre skade vil det påføre. Effektiv håndtering av cyberangrep krever at styret sørger for at ledelsen har både nødvendige ressurser og kompetanse til å identifisere, analysere og respondere på hendelsen. En dårlig utformet responsplan kan i verste fall gjøre mer skade enn selve angrepet, noe som understreker viktigheten av en gjennomarbeidet beredskapsplan.
Selv om det ikke finnes én universell løsning for å forhindre eller håndtere alle typer cyberangrep, er det avgjørende at styret sørger for at organisasjonen har implementert tilstrekkelige tiltak og prosedyrer for å håndtere disse hendelsene. Dette kan innebære å allokere ressurser til kontinuerlig opplæring av ansatte, utvikling av teknologiske løsninger som forbedrer overvåkning, og etablering av rutiner for rask respons.
I tillegg til det ovenfor nevnte, er det viktig at styret kontinuerlig vurderer risikoen og tilpasser strategiene etter utviklingen i trusselbilde og teknologi. Et statisk rammeverk eller en fastsatt plan vil ikke være tilstrekkelig for å møte de stadig mer sofistikerte cyberangrepene som organisasjoner kan bli utsatt for. Cyberrisikoen bør derfor behandles som en dynamisk utfordring som krever kontinuerlig oppmerksomhet og justering.
Hvordan sette mål som faktisk kan oppnås – Praktiske tips for personlig og profesjonell utvikling
Hvordan bygge konfidensintervall basert på Kullback-Leibler-divergens og Hoeffding’s ulikhet
Hvordan forstå og håndtere data på Azure: Grunnleggende konsepter og strategier
Hvordan forstår og bruker Russland cyberspace som et strategisk verktøy i geopolitikken?