I den moderne bedriftsverdenen har cybersikkerhet utviklet seg til å bli en kritisk prioritet for styret. Med økende kompleksitet i det juridiske landskapet og stadig mer sofistikerte cyberangrep, er det avgjørende at styremedlemmer forstår de potensielle risikoene og konsekvensene som truer organisasjonens data, infrastruktur og omdømme. Styret har en sentral rolle i å veilede og overvåke organisasjonens tilnærming til cybersikkerhet, både gjennom strategisk planlegging og ved å håndtere spesifikke hendelser.

Det første prinsippet som styret bør følge, er å være kontinuerlig oppdatert på lovgivning og reguleringer som omhandler cybersikkerhet. Dette omfatter både nasjonale og internasjonale lover som gjelder personvern, datahåndtering og beskyttelse av organisasjonens digitale infrastruktur. I et raskt utviklende landskap, der både lovgivere og cyberkriminelle tilpasser seg nye trusler og teknologier, er det avgjørende at styremedlemmene holder seg informert om de juridiske forpliktelsene og potensielle sanksjonene som kan følge av manglende overholdelse av disse lovene. Eksempler på konsekvenser kan inkludere bøter, juridiske søksmål fra kunder og aksjonærer, og i verste fall et tapt omdømme som kan være langt mer ødeleggende enn de økonomiske tapene.

Styrets ansvar omfatter også å sikre at organisasjonen har implementert tilstrekkelige beskyttelsestiltak mot cyberangrep. For å gjøre dette, bør styret aktivt delta i gjennomføringen av øvelser og simuleringer av databrudd. Slike simuleringer gir styremedlemmer en realistisk forståelse av hvordan selskapet skal reagere på et cyberangrep, og kan forbedre beslutningstaking under pressede situasjoner. Dette er også en effektiv måte å evaluere selskapets beredskapsplaner og identifisere eventuelle svakheter som må adresseres.

I tillegg er det essensielt at styret utvikler en kultur for cybersikkerhet i organisasjonen. Dette innebærer at styremedlemmer ikke bare setter krav til ledelsen, men aktivt fremmer best practices for cybersikkerhet blant alle ansatte. Ved å integrere cybersikkerhet i selskapets kjerneverdier og forretningsprosesser kan man sikre at cybersikkerhet ikke blir sett på som en isolert aktivitet, men som en integrert del av virksomhetens daglige drift.

Juridisk sett må styret være bevisst på de potensielle konsekvensene av manglende handling. Ved større cyberangrep, kan styremedlemmer bli holdt ansvarlige for å ha forsømt sine plikter hvis de ikke har sørget for at tilstrekkelige beskyttelsestiltak er på plass. Styremedlemmer må derfor kunne dokumentere sine beslutninger og handlinger knyttet til cybersikkerhet, noe som kan være avgjørende i tilfelle rettslige skritt blir tatt mot organisasjonen. Dokumentasjonen bør inkludere referanser til spesifikke diskusjoner om cybersikkerhet som har funnet sted på styremøter, samt hvordan styret har vurdert og håndtert nye trusler.

De juridiske rammeverkene for cybersikkerhet er også under kontinuerlig utvikling. Reguleringsmyndigheter i mange land har innført strengere regler for personvern og databeskyttelse, særlig innenfor rammeverket for GDPR i Europa. Det er viktig at styremedlemmer forstår at oppfyllelsen av disse grunnleggende lovkravene ikke nødvendigvis betyr at organisasjonen er sikret mot alle typer cybertrusler. Det er mulig at regulatoriske standarder gir et minimumsnivå av beskyttelse, men de kan være utilstrekkelige når det gjelder å håndtere mer avanserte trusler fra cyberkriminelle.

I tillegg til å forholde seg til nasjonale og internasjonale lovgivninger, bør styremedlemmer være oppmerksomme på hvordan deres organisasjon forholder seg til nye trusselaktører, for eksempel cyberkriminalitet assosiert med den underjordiske økonomien eller kryptovaluta. Disse aktørene benytter seg ofte av sofistikerte metoder for å omgå tradisjonelle sikkerhetstiltak og kan utgjøre en alvorlig trussel mot selv de best beskyttede systemene.

Det er også avgjørende at styremedlemmer forstår at cybersikkerhet ikke bare handler om å beskytte mot eksterne trusler, men også om å bygge et robust internt rammeverk som sikrer at sensitive data håndteres på en trygg måte. Dette inkluderer å etablere interne retningslinjer for datahåndtering, samt å sikre at selskapets ansatte har tilgang til nødvendig opplæring og ressurser for å beskytte seg mot de stadig mer sofistikerte truslene som finnes på nettet.

En annen viktig komponent er å bygge et effektivt samarbeid mellom styret og eksterne rådgivere, som for eksempel juridiske eksperter og cybersikkerhetsspesialister. Styremedlemmer må sørge for at de har tilgang til den nødvendige ekspertisen for å kunne ta velinformerte beslutninger, både i krisesituasjoner og i den daglige styringen av organisasjonen.

Styrets engasjement i cybersikkerhet er ikke bare en strategisk nødvendighet, men også et spørsmål om selskapsansvar. Gjennom proaktive tiltak, inkludert grundig opplæring av både ansatte og ledelse, kan styret bidra til å beskytte selskapets interesser og minimere potensielle juridiske og økonomiske skader som følge av cyberangrep.

Hvordan kan styret ivareta sitt ansvar for cybersikkerhet?

De siste utviklingene når det gjelder ulike former for arbeidsplasserelaterte feilhandlinger har også ført til et økt behov for å sette riktig tone på toppledernivå (Internet Security Alliance, 2020). Feilhandlinger fra ansatte, som brudd på cybersikkerhetsstandarder, kan få ødeleggende konsekvenser for organisasjonskulturen, de ansattes moral og publikums oppfatning av selskapet. Den forsinkede responsen fra styret på slike feilhandlinger kan skade selskapets omdømme. Til tross for de cybersikkerhetsrisikoene som følger med brudd på compliance og andre feil, har de fleste styrer ennå ikke implementert tiltak for å håndtere disse problemene på en hensiktsmessig måte. I tillegg er det fortsatt noen styremedlemmer som ikke samarbeider tilstrekkelig med ledelsen for å etablere nødvendige retningslinjer og prosedyrer for å forebygge og redusere cybersikkerhetsrisikoer (Internet Security Alliance, 2020). Derfor må styret vurdere sitt ansvar for tilsyn med cybersikkerhet og samarbeide med toppledelsen for å adressere alle former for cybersikkerhetsrisikoer og hendelser relatert til cybersikkerhet.

Styret må også jevnlig vurdere retningslinjene og prosedyrene som er integrert i organisasjonens forretningsoperasjoner. I tillegg må styremedlemmene arbeide sammen med ledelsen for å utvikle en effektiv beredskapsplan for hendelser relatert til cybersikkerhet (Lipton et al., 2018). Denne planen bør involvere aktiv deltakelse fra juridisk rådgiver, personalavdeling og PR-personell i organisasjonen. Det er av stor betydning at styret ikke bare har kunnskap om de nødvendige policyene, men at de også forstår hvordan implementeringen av disse kan bidra til å forebygge eller håndtere cybersikkerhetshendelser.

Cybersikkerhetens tilsynsfunksjon og de forpliktelser styret har etter loven er nært knyttet til de juridiske kravene og de beste internasjonale praksisene for børsnoterte selskaper (Lipton et al., 2018). Styrets plikter, som forvaltere av selskapets interesser, er regulert gjennom delstatens lovgivning om fiduciary duties, samt statlige og føderale lover. Den juridiske standarden for styrets forvaltning av cybersikkerhetsrisikoer ble formulert av domstolene i Delaware, som har presisert at styret kan bli holdt ansvarlig dersom de unnlater å utføre sine tilsynsplikter (Lipton et al., 2018). Et bemerkelsesverdig eksempel på vedvarende eller systematisk svikt i tilsynet fra styret er manglende forsikring fra toppledelsen om utvikling og implementering av et detaljert informasjonssystem for cybersikkerhet.

Delaware-domstolene har videre presisert at det kreves bevis på systematisk svikt for å kunne pålegge et styre ansvar for manglende tilsyn. I flere saker, for eksempel i Citigroup i 2009, ble styrets ansvarsfrihet bekreftet av domstolene, til tross for anklager om forsømmelse i håndtering av risikoene forbundet med subprime-markedene (In the Court Chancery of the State of Delaware, 2009). Retten understreket at for å pålegge et styre ansvar, må det foreligge bevis for at de har unnlatt å utføre nødvendige handlinger, til tross for varselsignaler fra media og andre kilder. En annen kjent sak gjelder Goldman Sachs, hvor styrets ansvar ble utfordret på grunn av manglende tilsyn med risikoene knyttet til subprime-lån. Domstolene slo imidlertid fast at det ikke kan forventes at styret skal "sekund-vurdere" spesifikke risikovurderinger som har blitt gjort på et operasjonelt nivå (In the Court Chancery of the State of Delaware, 2011).

Likevel, i noen tilfeller har domstolene ansett styrene for å være ansvarlige, som i saken mot Wells Fargo. Her ble det vist til at styremedlemmene unnlåt å reagere på tilstrekkelig måte på de røde flaggene som ble identifisert om ansatte som opprettet falske bankkonti. Retten konkluderte med at bevisene viste at styremedlemmene, til tross for at de visste om problemene, ikke iverksatte nødvendige tiltak for å stoppe mislighetene. Dette resultatet understreker viktigheten av at styret ikke bare har ansvar for å reagere på åpenbare varselsignaler, men at de også er forpliktet til å vise handling ved manglende respons på disse signalene (Lipton et al., 2018).

For styremedlemmer er det avgjørende å forstå at selv om en hendelse virker ubetydelig på overflaten, kan det ved en nærmere gjennomgang vise seg at manglende handling kan føre til juridiske og økonomiske konsekvenser for både selskapet og individene i styret. Dermed må det utvikles klare prosedyrer for risikohåndtering og tilsyn, og styret må være i stand til å dokumentere at de har vært aktive i å forhindre eller håndtere cybersikkerhetsrelaterte hendelser.

Hvordan kan ledelsen forberede organisasjonen på cyberangrep og sikre informasjonssikkerhet?

Ledelsen i en organisasjon, sammen med de øvrige ansatte, har et klart ansvar for å overvåke hvordan informasjon flyter gjennom selskapets nettverk og systemer. For å sikre at bedriften er godt beskyttet mot potensielle cybertrusler, må både ledelsen og de ansatte ha den nødvendige kunnskapen for å oppdage og forhindre cybersikkerhetsrisikoer, samt beskytte mot lekkasje av sensitiv informasjon til cyberkriminelle. Spesielt er det viktig at toppledelsen (C-suite) er godt forberedt på å hindre eller håndtere konsekvensene av et cyberangrep.

En viktig tilnærming for å forbedre C-suites beredskap, er utviklingen og implementeringen av en cyberhendelsesforebygging og responsplan. Dette innebærer blant annet dedikeringen av nødvendige ressurser for å oppdage cyberhendelser, analysere dem, hindre ytterligere skade som følge av cyberangrep, samt fordele tilstrekkelige ressurser til å utvikle og implementere en velutformet responsplan. Et sentralt aspekt i å styrke organisasjonens cybersikkerhetsforsvar er den menneskelige faktoren. Ansatte i ledende posisjoner er mindre sannsynlig å bli ondsinnede interne trusselaktører, mens ansatte på lavere nivå kan svekke organisasjonens sikkerhetsforsvar.

Misbruk av privilegier er en av de ledende årsakene til cybersikkerhetsbrudd og datalekkasje fra ondsinnede interne aktører. Derfor er det viktig at C-suite er bevisst på hvordan tilgangsnivåene for ansatte på lavere nivå blir satt og overvåket. Utvikling og implementering av en cybersikkerhetspolicy kan hjelpe til med å beskytte sensitiv informasjon fra ondsinnede interne aktører og redusere potensielle cyberrisikoer som kan hindre organisasjonens vekst.

En annen utfordring som kan true organisasjonens cybersikkerhet, er implementeringen av en "bring your own device" (BYOD)-policy. Denne policyen ble innført for å gi ansatte fleksibilitet i arbeidsmiljøet og forbedrede arbeidsforhold, men den medfører også cybersikkerhetsrisikoer. Ifølge Bianculli (2021), har én av fem selskaper som har innført BYOD-policies, opplevd et mobilitetsbrudd som følge av ondsinnede Wi-Fi-nettverk eller skadelig programvare. Samtidig dokumenterte Bianculli at cybersikkerhetstruslene knyttet til BYOD-policyer medfører store belastninger på selskapets IT-ressurser og helpdesksystemer.

Til tross for de økende truslene mot mobilitet og cybersikkerhet, viser estimater at bare 30 % av selskapene har økt sine cybersikkerhetsbudsjetter for å møte risikoene forbundet med BYOD, mens 37 % av organisasjonene ikke har planer om å øke budsjettet for cybersikkerhet. I lys av dette bør C-suite øke bevisstheten blant styremedlemmer, komitémedlemmer og øvrige ansatte i organisasjonen om de risikoene som følger med innføringen av en BYOD-policy. Det er også viktig at lederne, inkludert CIO, CISO og CEO, implementerer tiltak for passordbeskyttelse, begrenser tilgangsnivåene for ansatte på lavere nivå, og kontinuerlig overvåker aktiviteter på det interne nettverket.

En annen betydelig risiko forbundet med cybersikkerhet er mangelen på ressurser, talenter og midler for å implementere spesifikke cybersikkerhetstiltak. Organisasjoner med stramme budsjetter og knappe ressurser er mer utsatt for cybertrusler, da de har færre midler til å forbedre sikkerhetslagene i selskapet og redusere de negative konsekvensene av et cyberangrep. C-suite bør derfor sette realistiske forventninger for å oppnå cybersikkerhetsmål og sørge for at tilgjengelige ressurser blir allokert på en fornuftig måte for å oppnå disse målene.

En annen viktig risiko for organisasjonen er mangelen på opplæring i informasjonssikkerhet. Det er avgjørende å øke ansattes bevissthet om cybersikkerhet gjennom regelmessige opplæringssesjoner. C-suite bør derfor sørge for at alle ansatte får opplæring i de vanligste filtypene som cyberkriminelle bruker for å få uautorisert tilgang til systemene. Resultatene fra denne opplæringen bør danne grunnlaget for videre tiltak for å beskytte organisasjonen mot potensielle angrep.

En effektiv cybersikkerhetshendelsesresponsplan er essensiell for enhver organisasjon, og C-suite må forstå betydningen av å utvikle en slik plan. Mangelen på en formell hendelsesresponsplan kan være en betydelig risiko, og derfor er det avgjørende at ledelsen er forberedt på å håndtere konsekvensene av et cyberangrep. Det bør implementeres både forebyggende tiltak for å redusere risikoen for angrep, samt strategier for å håndtere og redusere skadevirkningene dersom et angrep skulle finne sted. I følge en rapport fra NTT Group (2016), mangler 77 % av selskapene en formell hendelsesresponsplan, noe som øker risikoen for tap og skade på organisasjonens omdømme.

Polymorfisk og stealth malware representerer også en betydelig trussel mot forretningskontinuitet. Polymorfisk malware er ondsinnet programvare som konstant endrer seg for å unngå oppdagelse, noe som gjør det vanskelig å oppdage og beskytte mot. For å håndtere denne trusselen bør C-suite forstå at det kan være nødvendig å implementere et ekstra lag med sikkerhet, utover bruk av vanlige antivirus- eller antimalware-programmer.

Det er derfor avgjørende for C-suite å sikre at det finnes nødvendige sikkerhetsforanstaltninger, ressurser og kompetanse på plass for å møte dagens og fremtidens cybersikkerhetstrusler.

Hvordan bør ledelsen vurdere og håndtere risikoen for insidertrusler i en organisasjon?

I dagens teknologiske landskap er det avgjørende at både teknisk og ikke-teknisk ledelse forstår kompleksiteten i cybersikkerhetsmål og nøkkelindikatorer for risiko (KPIer) som kan ha direkte innvirkning på organisasjonens økonomi og drift. En av de viktigste oppgavene for toppledelsen, spesielt for Chief Information Officer (CIO), Chief Information Security Officer (CISO) og administrerende direktør (CEO), er å sørge for at styret og ledelsesteamet får presis og forståelig informasjon om hvordan cybersikkerhetstiltak har bidratt til økte inntekter eller kostnadsbesparelser i organisasjonen. Cybersikkerhet bør ikke bare ses som en kostnad, men også som en investering som kan skape verdi. Derfor er det essensielt at ledelsen utvikler kostnadseffektive sikkerhetskontroller som ikke bare beskytter organisasjonens eiendeler, men også forbedrer den overordnede sikkerheten og økonomiske stabiliteten.

En viktig dimensjon som ofte overses i diskusjoner om cybersikkerhet, er risikoen som stammer fra interne trusler. Endringer i arbeidsstyrken – som økt fjernarbeid, global ansettelse uten ansikt-til-ansikt-intervjuer eller hybride arbeidsmodeller – medfører en økt eksponering for insidertrusler. Slike ansatte, selv om de er ansatte av selskapet, kan i verste fall medføre store sikkerhetsrisikoer dersom de misbruker sine tilgangsrettigheter. Dette understreker viktigheten av at ledelsen er oppmerksom på risikoene som stammer fra personer som allerede har tillit og tilgang til selskapets data og systemer.

Toppledelsen må derfor ta i betraktning at selv om de fleste trusselaktører er eksterne, er en betydelig andel av cyberangrep forårsaket av betrodde forretningspartnere eller ansatte med tilgang til sensitive data. Ifølge Panda Security (2021) står omtrent 15–25 % av cyberangrep forårsaket av interne aktører som betrodde leverandører. Derfor er det essensielt at ledelsen utvikler og implementerer verktøy for å oppdage insidertrusler i sanntid, samt systemer som kan spore og overvåke ansattes atferd og aktiviteter innenfor organisasjonens nettverk.

Når en stor insidertrussel oppstår, er det viktig å ha en prosedyre på plass. Første trinn er å etablere kontinuerlig overvåkning av selskapets eiendeler. Dette innebærer identifisering og klassifisering av informasjon som er kritisk for selskapets drift og som kan være utsatt for cybertrusler. Ledelsen bør lage en vurderingsmatrise som prioriterer de mest sensitive dataene, som kundeinformasjon, intellektuell eiendom eller konfidensielle økonomiske data. Dette bør også inneholde mekanismer for å hindre uautorisert kopiering eller overføring av slike data gjennom mobil lagring eller e-post.

En annen viktig best practice er at ledelsen aktivt vurderer mulige konsekvenser og resultatene av en større insiderhendelse, og forbereder seg på å analysere og håndtere det på en måte som kan minimere skadene. For eksempel kan det være nødvendig å spore og rekonstruere tidslinjen for hendelsen, overvåke korrelerte hendelser og bestemme hvilke alarmer og varsler som skal settes opp for fremtidige trusselaktiviteter. Å ha et strukturert rammeverk for undersøkelser kan bidra til å forhindre feilvurderinger og sikrer at alle relevante data samles inn for å forstå hendelsens omfang.

Det er også viktig at ledelsen anerkjenner at cybersikkerhetsrisikoer ikke kan unngås kun ved hjelp av tradisjonelle strategier for datalekkasjer, som kun ser på e-post som et kommunikasjonspunkt. Mer sofistikerte løsninger er nødvendige for å oppdage handlinger fra onde interne aktører, som kan skjule sine aktiviteter ved hjelp av avanserte teknikker.

Utover det grunnleggende rammeverket for overvåkning og risikohåndtering er det essensielt at ledelsen kontinuerlig vurderer og tilpasser sine sikkerhetsstrategier. Cybertrussel-landskapet utvikler seg raskt, og hva som er en utfordring i dag, kan bli irrelevant i morgen. Derfor er det nødvendig å ha en dynamisk tilnærming som gjør at man raskt kan reagere på nye trusler og endringer i arbeidsstyrkens struktur eller eksterne forretningsforhold.

Hvordan sikrer man organisasjonens cybersikkerhet gjennom effektivt lederskap og outsourcing?

Cybersikkerhet er et av de viktigste områdene for ledelsen i enhver organisasjon, og krever et kontinuerlig og proaktivt engasjement fra både toppledelsen og styret. En organisasjon må utvikle en cybersikkerhetspolicy som er godt forankret og anvendes på tvers av alle nivåer. For å gjøre policyen mer følsom for spesifikke hendelser, kan ledelsen, inkludert Chief Information Officer (CIO), Chief Information Security Officer (CISO), og administrerende direktør (CEO), vurdere å inkludere tidsbestemte kvalifikatorer for å redusere falske alarmer (Cybersecurity and Infrastructure Security Agency, 2020).

Det er viktig at styret er involvert i prosessen, og at de har en klar forståelse av hvordan organisasjonen kan oppdage og håndtere cyberangrep. Styret må sørge for at ledelsen er forberedt, har effektive planer for å hindre og redusere skader fra cyberangrep, og at det finnes løsninger for å gjenoppta normal drift raskt etter et angrep (Internet Security Alliance, 2020). Effektive mål for å evaluere innvirkningen av cybersikkerhetstiltakene kan benyttes gjennom cyber-målinger, risikoindikatorer og nøkkeltall (Tunggal, 2021a).

Når det gjelder outsourcing av cybersikkerhet, finnes det flere fordeler, som kostnadsbesparelser og tilgang til ekspertise som kanskje ikke er tilgjengelig internt i organisasjonen (Baker, 2016). Samtidig er det viktige risikoer som ledelsen må vurdere før de velger en ekstern leverandør. En av de beste praksisene for å minimere disse risikoene er å unngå offshore-leverandører, da det ikke er mulig å verifisere ferdigheter, erfaring eller bakgrunn på samme måte som for leverandører som opererer i samme jurisdiksjon. Offshore-leverandører kan ha tilgang til interne systemer og data, noe som utgjør en stor risiko for organisasjonen.

Videre bør organisasjonen være forsiktig med å benytte seg av leverandører som tilbyr løsninger basert på fjernadministrasjon. Fjernbaserte løsninger er ofte utilstrekkelige når det gjelder å beskytte organisasjonens ressurser, særlig i tilfeller hvor 50% av datainnbrudd kan spores tilbake til uaktsomhet, feil eller ondskap fra interne aktører. Eksterne leverandører som lover 100% beskyttelse mot datainnbrudd bør unngås, da ingen cybersikkerhetsløsning er garantert å være feilfri. Cybersikkerhetseksperter er i en kontinuerlig kamp mot cyberkriminelle, og hver gang en sårbarhet lukkes, blir en ny oppdaget.

For å sikre at leverandørene faktisk har nødvendig erfaring og kompetanse, bør ledelsen forsikre seg om at de har reell erfaring med forebygging og håndtering av cyberangrep. Nye aktører som mangler praktisk erfaring kan gjøre feil som kan koste dyrt for organisasjonen. Ledelsen må være klar over at sikkerhetshardware alene ikke er nok til å beskytte organisasjonen, og at kompetente cybersikkerhetspersonell er nødvendige for å implementere effektive løsninger.

Videre må styret sørge for at nødvendige ressurser og støtte er tilgjengelig for å håndtere risikoer fra interne trusler. Dette inkluderer utvikling og implementering av systemer for å håndtere insider-risikoer, samt en grundig vurdering av hvilke ressurser som trengs for å støtte opplæring, produktutvikling og etterlevelse av interne sikkerhetsprotokoller. Insidere kan ofte være en større trussel enn eksterne aktører, og derfor er det nødvendig med et klart responssystem for å håndtere angrep som stammer fra organisasjonens egne ansatte (Rogers & Ashford, 2015; Bailey et al., 2020).

Den økonomiske kostnaden ved å håndtere insider-trusler kan være betydelig. Både styret og toppledelsen må ha god oversikt over de potensielle kostnadene ved slike hendelser og være forberedt på å allokere nødvendige midler til forebygging og etterforskning av slike trusler. Dette inkluderer å vurdere ikke bare de umiddelbare økonomiske konsekvensene, men også langsiktige omdømmemessige tap og tap av tillit som kan oppstå som et resultat av et vellykket angrep fra en intern aktør.

Et organisert og grundig rammeverk for cybersikkerhet er derfor ikke bare et teknisk krav, men også et ledelsesmessig og strategisk valg som kan være avgjørende for organisasjonens fremtidige suksess. Det er avgjørende at både styret og ledelsen arbeider tett sammen for å bygge en robust cybersikkerhetskultur som går på tvers av alle nivåer i organisasjonen.

Hvordan kan man navigere i monogamiens kontinuerlige spektrum og verdier?
Hvordan Robotikk og Kunstig Intelligens Revolusjonerer Mekatronikkindustrien
Hvordan påvirker kunstig intelligens programmeringsundervisning på universitetet?