Implementeringen av et passende system for håndtering av selskapsrisikoer er avgjørende for å sikre en effektiv vurdering, prioritering, mitigering og rapportering av potensielle cybersikkerhetsrisikoer. Styret må sikre at ledelsen er klar over utviklingen og implementeringen av rammeverket for håndtering av disse risikoene, spesielt med tanke på beskyttelsen av organisasjonens sensitive data. Mange selskaper i USA bruker cybersikkerhetsrammeverket fra National Institute of Standards and Technology (NIST) som et verktøy for å etablere standarder, prosedyrer og teknikker som samordner forretningsdrift, policy, teknologi og cybersikkerhet (National Institute of Standards and Technology, 2020). Dette rammeverket gjør det mulig for ledelsen å utvikle en helhetlig tilnærming til cybersikkerhetsrisiko.

I flere deler av Amerika har land også begynt å utvikle egne cybersikkerhetsrammeverk for å beskytte bedriftsverdier. Eksempelvis har myndighetene i Peru bedt Organisasjonen av amerikanske stater (OAS) om teknisk bistand for å etablere et effektivt cybersikkerhetsrammeverk som kan takle cybersikkerhetsrisikoer. I tillegg har Peru implementert ISO 27001:2013-standarden for å forebygge og redusere cyberangrep. Styret i en organisasjon må forstå at det finnes spesifikke cybersikkerhetsrammeverk for ulike sektorer, og at forskjellige bransjer kan ha spesifikke krav til databeskyttelse og personvern, for eksempel selskaper som arbeider med finansielle teknologier. Dette gjør at hver organisasjon må velge og tilpasse et rammeverk som passer til deres spesifikke industri, bedriftskultur og forretningsdrift.

I tillegg til å ha god kjennskap til de tekniske kravene for å etablere et cybersikkerhetsrammeverk, må ledelsen utvikle en plan for å vurdere og forstå den tekniske cybersikkerheten og kommunisere viktigheten av denne planen til styret. Selv om et sammenhengende rammeverk som er drevet av bedriftsmål, legger til rette for overholdelse av krav, kan ikke selve rammeverket garantere beskyttelsen av organisasjonens konfidensielle informasjon. Årsaken er at de tekniske kravene til cybersikkerhetsrammeverk ikke alltid gir et fullstendig bilde av tiltakene som er implementert for å beskytte organisasjonens eiendeler. Imidlertid har den siste utviklingen innen metodologier for cybersikkerhetsrisikohåndtering muliggjort en empirisk og økonomisk tilnærming for å evaluere organisasjonens cybersikkerhet.

Styret bør klargjøre sine forventninger til ledelsen. Noen av disse forventningene innebærer å vedta en moderne bedriftsstruktur som hindrer isolasjon av ulike avdelinger, samt å implementere et cybersikkerhetsrammeverk som legger til rette for en helhetlig tilnærming til cybersikkerhet. En slik tilnærming kan omfatte opprettelsen av et tverrfaglig cybersikkerhetsteam som rapporterer til en leder med bred kompetanse i hele organisasjonen, som for eksempel en finansdirektør, risikodirektør, informasjonssikkerhetssjef eller driftsdirektør. Styret må sørge for at cybersikkerhetsteamet ikke er dominert av IT-avdelingen. Videre må styret sørge for at teamet får nødvendige ressurser til å vurdere og håndtere cybersikkerhetsrisikoene effektivt.

For å sikre god styring av cybersikkerhetsrisikoer, anbefaler Internet Security Alliance (2020) at styret følger spesifikke tilnærminger. For det første bør styret utpeke personer med tverravdelingsansvar for å ha overordnet ansvar for cybersikkerhet. Dette kan inkludere personer som informasjonssikkerhetssjefen, risikodirektøren eller finansdirektøren. For det andre bør styret etablere et tverrfaglig cybersikkerhetsteam bestående av ansatte fra viktige avdelinger som juridisk avdeling, personalavdeling, internrevisjon, IT-avdeling og risikostyring. Hensikten med dette teamet er å sikre at alle avdelinger i organisasjonen er involvert i håndteringen av cybersikkerhetsrisiko.

Medlemmene av dette tverrfaglige teamet bør utføre en omfattende risikovurdering for å identifisere de cybersikkerhetstruslene organisasjonen står overfor. Dette krever en systematisk tilnærming som tar høyde for kompleksiteten i cybersikkerhetsrisikoer og trusler. En slik vurdering gir en detaljert oversikt over de cybersikkerhetsrisikoene som truer organisasjonens verdifulle data og aktiva. Denne vurderingen hjelper også til å fastslå organisasjonens risikotoleranse og -grense, som igjen informerer valget av det riktige cybersikkerhetsrammeverket.

Styret må være oppmerksom på at lover og regler om cybersikkerhet kan variere mellom ulike jurisdiksjoner og sektorer. Derfor bør ledelsen være ansvarlig for å identifisere og implementere de spesifikke kravene som gjelder for deres virksomhet. Ledelsen må også utvikle en samarbeidsorientert tilnærming til rapporteringen om cybersikkerheten i organisasjonen. Det er viktig at ledelsen systematisk evaluerer effektiviteten av cybersikkerhetsstrategier og organisasjonens evne til å håndtere cyberrisiko (cyber-resilience). Dette kan omfatte kvartalsvise interne revisjoner og andre prestasjonsevalueringer for å vurdere og forbedre cybersikkerhet.

Et annet viktig aspekt er at ledelsen bør utvikle en cybersikkerhetsplan som dekker hele organisasjonen og innebærer alle forretningsenheter og avdelinger. Selv om cybersikkerhet er et teknologisk spørsmål, bør alle interessenter være involvert i utviklingen, implementeringen og evalueringen av cybersikkerhetsstrategier for å sikre beskyttelsen av organisasjonens verdier. Regelmessige tester av cybersikkerhetsplanen bør gjennomføres for å vurdere dens effektivitet.

Til slutt må ledelsen utarbeide et cybersikkerhetsbudsjett som tydelig angir ressursene som kreves for å møte organisasjonens risikoappetitt og behov. Dette budsjettet bør ta hensyn til både de tekniske aspektene og de organisatoriske nødvendighetene for å håndtere cybersikkerhetsrisiko på en effektiv måte.

Hvordan etablere effektiv cybersikkerhetsstyring i en organisasjon?

Cybersikkerhet er et komplekst og stadig mer kritisk område for moderne organisasjoner. For at en organisasjon skal kunne beskytte sine digitale ressurser og minimere risikoen for cyberangrep, er det nødvendig med en systematisk tilnærming til cybersikkerhet. En viktig del av denne tilnærmingen er etableringen av et rammeverk for cybersikkerhetsstyring som er i tråd med selskapets forretningsstrategier og målsettinger.

De som har ansvar for styring, som styret, toppledelsen og senior risikostyrere, må ha en god forståelse av cybersikkerhetsmålene organisasjonen ønsker å oppnå. Cybersikkerhet er et omfattende felt og omfatter flere aspekter av informasjonssikkerhet. Styret bør påse at ledelsen setter tydelige, realistiske og håndterbare mål for cybersikkerhet. Det er viktig å forstå at cybersikkerhet ikke bare handler om å hindre angrep, men også om å kunne håndtere hendelser når de oppstår.

For å beskytte organisasjonen mot cyberkriminalitet er det avgjørende at alle i ledergruppen forstår at cybersikkerhet er et system av sammenhengende elementer. Det er nødvendig med et koordinert samarbeid mellom styret og ledelsen for å utvikle, implementere og optimalisere tiltak for å sikre organisasjonens systemer. Cyberkriminelle retter ofte angrep mot de svakeste punktene i et system, og derfor må hele organisasjonen ha en helhetlig tilnærming til cybersikkerhet.

Effektiv cybersikkerhetsstyring innebærer å etablere klare rammer for hvordan cyberrisikoer skal håndteres. Dette innebærer ikke bare å forebygge cyberrisikoer, men også å utvikle prosedyrer for å håndtere uforutsette hendelser når de oppstår. Cybersikkerhetsstyringen bør være både korrigerende og forebyggende. Styret og ledelsen må sørge for at det er implementert prosedyrer for å forhindre og redusere skader ved cyberangrep.

En viktig komponent i cybersikkerhetsstyring er fleksibilitet. Angrep kan komme i mange former, både konvensjonelle og ukonvensjonelle, og det er nødvendig at organisasjonen er i stand til å håndtere begge typer. Cybersikkerhetsrammeverket bør derfor være fleksibelt nok til å tilpasse seg nye trusler, uansett hvor de kommer fra. Dette krever at styringen er dynamisk og i stand til å tilpasse seg endrede trusselbilde og teknologiske utfordringer.

For å utvikle et effektivt cybersikkerhetsstyringssystem bør en seks-trinns tilnærming benyttes. Den første fasen involverer identifikasjon av interessentenes behov. Styret og ledelsen bør identifisere både interne og eksterne interessenter og deres spesifikke behov når det gjelder cybersikkerhet. Dette inkluderer behovet for konfidensialitet og beskyttelse av sensitive data, samt å forstå hvordan organisasjonen kan ivareta disse behovene.

Neste trinn er å utvikle en strategi for cybersikkerhetstransformasjon. Dette kan innebære en gjennomgang av den eksisterende cybersikkerhetsstrategien for å sikre at den er oppdatert og effektiv i lys av nye trusler. Ledelsen og styret bør også sørge for at organisasjonen har en tilstrekkelig risikotoleranse, og at det er etablert prosedyrer for å håndtere hendelser som cyberangrep og databrudd. Det er viktig å validere de organisatoriske behovene i forhold til cybersikkerhet, samt å identifisere endringer i paradigmer som kan påvirke cybersikkerhetens effektivitet.

I tillegg bør organisasjonen utvikle en struktur for cybersikkerhet som er tilpasset dens spesifikke behov. Dette innebærer å definere en organisasjonsstruktur for cybersikkerhet, samt å sikre at det er et klart ansvar for sikkerheten på tvers av ulike nivåer i organisasjonen. Styret og ledelsen bør samarbeide tett for å etablere klare ansvarsområder, og å sørge for at det er et system for rapportering og overvåking av cybersikkerhetens tilstand.

En viktig del av prosessen er også å vurdere etikk og organisasjonskultur i sammenheng med cybersikkerhet. Ledelsen må definere en målrettet kultur for cybersikkerhet og utvikle programmer som fremmer bevissthet og ansvar blant de ansatte. Samtidig er det viktig å sikre at etiske og kulturelle forskjeller ikke skaper problemer for implementeringen av cybersikkerhetstiltakene. Når det gjelder ekstern rådgivning, bør styret og ledelsen ha klare retningslinjer for hvordan de skal håndtere fortrolige opplysninger som deles med eksterne konsulenter.

Det er også essensielt at ledelsen kontinuerlig evaluerer de implementerte cybersikkerhetstiltakene, og at de er i stand til å tilpasse seg både konvensjonelle og ukonvensjonelle trusler. Organisasjonen må være forberedt på uventede situasjoner, og ha prosedyrer på plass for å håndtere alle typer cyberhendelser effektivt.

Et godt cybersikkerhetsrammeverk er en dynamisk prosess som krever kontinuerlig forbedring og tilpasning. Ledelsen og styret må sørge for at cybersikkerheten er integrert i organisasjonens kjerneprosesser og at det er et sterkt samarbeid mellom alle aktører. Det er viktig at alle nivåer i organisasjonen er bevisst på sin rolle i å beskytte både data og infrastruktur, og at cybersikkerhet tas på alvor som en strategisk forretningsfunksjon.

Hvordan bedrifter bør håndtere juridisk samsvar og cybersikkerhetsrisikoer

For å sikre at en organisasjon fungerer innenfor lovens rammer, bør et effektivt juridisk samsvarsprogram implementeres. Slike programmer bør inkludere interaktive opplæringsøkter og skriftlig materiale for alle ansatte, slik at de får en dypere forståelse for viktigheten av etikk og lovlydighet i organisasjonen. I tillegg er det nødvendig med periodiske gjennomganger av retningslinjer for å vurdere deres effektivitet, og eventuelle nødvendige endringer må implementeres. Juridiske prosedyrer bør være praktiske og samsvare med selskapets forretningsmål og strategier. Styret og den øverste ledelsen må sørge for at disse retningslinjene håndheves konsekvent, og at passende disiplinære tiltak er på plass. Et effektivt rapporteringssystem må også etableres på alle nivåer i organisasjonen, slik at ansatte vet hvem de skal rapportere mulige brudd på samsvar til.

Det kan også være hensiktsmessig å utnevne en Chief Compliance Officer (CCO) eller etablere et samsvarsutvalg for å administrere samsvarsprogrammene. Den spesifikke rollen til CCO og samsvarsutvalget inkluderer å fasilitere opplæring av ansatte i samsvar med lovgivning og gi regelmessige påminnelser om juridisk opplæring. Styret kan også velge å utvikle separate samsvarsprogrammer som tar for seg spesifikke områder som er avgjørende for organisasjonens ytelse.

Med den stadig økende avhengigheten av teknologi, har cybersikkerhetsrisikoene fått betydelig oppmerksomhet. Bedrifter som er knyttet til Internett of Things (IoT), er spesielt utsatt for økte trusler som kan føre til alvorlige konsekvenser. Ifølge Herjavec Group (2017) kan kostnadene for cybersikkerhetskriminalitet overstige 6 trillioner dollar innen slutten av 2021. Store selskaper som Colonial Pipeline, Software AG og Equifax har allerede erfart de økonomiske konsekvensene av sikkerhetsbrudd. Hacking av datasystemene til slike selskaper har ført til nettverksbrudd, datatyveri, offentliggjøring av konfidensiell informasjon, og alvorlig skade på deres IT-infrastruktur, i tillegg til betydelig omdømmeskade.

Som respons på økende cybertrusler har regulatorer i USA og andre deler av verden satt inn strengere tiltak for å redusere risikoen. I USA har både nasjonale og statlige myndigheter intensifisert lovgivning og regulering knyttet til cybersikkerhet. Tilsvarende har EU utviklet General Data Protection Regulation (GDPR), som regulerer behandlingen av data. Selskaper i USA og EU er pålagt å overholde disse lovgivningene, og styret må utvikle et omfattende program for å forebygge og redusere cybersikkerhetsrisikoene.

Styret i et selskap har ansvar for å allokere nødvendige ressurser til å kjøpe og implementere avanserte forsvarsteknologier. I tillegg bør de sørge for at organisasjonen har etablerte prosedyrer for å håndtere cybersikkerhetshendelser, inkludert opplæring av ansatte, installasjon av systemer for testing og patching, samt etablering av effektive incident response planer. Styret bør være aktivt involvert i overvåkingen av cybersikkerhetsrisikoer og sørge for at organisasjonen har de nødvendige kompetansene på plass.

Et økende antall organisasjoner har begynt å integrere cybersikkerhet og cyber-risiko i sine interne revisjonsfunksjoner. En undersøkelse fra Protiviti (2016) viste at 73 % av organisasjonene som ble spurt, hadde tatt cybersikkerhet og cyber-risiko inn i sine interne revisjonsfunksjoner, og 53 % hadde økt antallet selskaper som inkluderte disse områdene i sine vurderinger. Styret bør forsikre seg om at de som utfører interne revisjoner har nødvendig teknisk kompetanse, ressurser og erfaring for å håndtere cyberrisiko på en effektiv måte.

Videre må styret sørge for at det gjennomføres regelmessige tester for å vurdere hvor godt selskapets risikohåndteringsstrategier fungerer. Det er viktig at styret kontinuerlig evaluerer selskapets beredskap for å håndtere og minimere konsekvensene av et eventuelt cybersikkerhetsbrudd. Planene for håndtering av cybersikkerhetsbrudd bør være praktiske og tilpasset selskapets behov. Blant de viktigste tiltakene som bør vurderes, er identifikasjon av selskapets "kronejuveler" (de mest kritiske systemene og dataene) og implementering av effektive cybersikkerhetsprotokoller. Styret bør også sikre at ledelsen har utviklet robuste responsplaner som omfatter både det teknologiske og operasjonelle nivået.

For å oppnå en effektiv cybersikkerhetsstrategi er det viktig at styret sikrer at det er tilstrekkelig teknologi på plass, som for eksempel intrusjonsdeteksjonssystemer, ekstern sikkerhetskopiering av data og verktøy for å forhindre datatyveri. Det er også nødvendig å utvikle autorisasjoner og prosedyrer som muliggjør kontinuerlig overvåking av selskapets nettverk for å identifisere trusler på et tidlig stadium.

Hvordan Datainnbrudd Utsetter Personlig Informasjon og Øker Cyberkriminalitetens Trussel

I løpet av de siste årene har flere store datainnbrudd fått alvorlige konsekvenser for både enkeltpersoner og organisasjoner. Personopplysninger, som tidligere ble betraktet som trygge, har blitt utsatt for cyberkriminelle, som utnytter svakheter i sikkerhetssystemene for å stjele sensitiv informasjon og bruke den til ondsinnede formål. Slike brudd har ikke bare resultert i tap av privat informasjon, men har også ført til økte cyberangrep, som for eksempel spear-phishing-kampanjer, der angriperne forsøker å få tak i passord, kredittkortinformasjon eller andre følsomme data ved å utgi seg for å være pålitelige kilder.

Et eksempel på dette fant sted i 2019, da en stor aktør innen cybersikkerhet, Aria Cybersecurity Solutions, rapporterte om et alvorlig datainnbrudd som førte til eksponering av kundedata. Det var ikke første gang et slikt brudd skjedde, ettersom en lignende hendelse fant sted allerede i 2019. Slike hendelser har avdekket store mangler i implementeringen av tilstrekkelige cybersikkerhetstiltak, noe som gjør det lettere for cyberkriminelle å få tilgang til informasjon som kan misbrukes.

Et annet skremmende eksempel kom i april 2020, da mer enn 267 millioner Facebook-profiler ble lagt ut for salg på det mørke nettet. Profilene inneholdt personlig identifiserbar informasjon, som e-postadresser og mobilnumre, som raskt kunne brukes til å starte målrettede phishing-angrep. Det er klart at selskaper som Facebook har store utfordringer med å beskytte brukerdata til tross for deres enorme ressurser, og denne typen hendelser understreker behovet for bedre sikkerhetstiltak i teknologiindustrien.

Den berømte videokonferanseplattformen Zoom, som ble mye brukt under COVID-19-pandemien, ble også utsatt for et alvorlig cyberangrep som resulterte i et datainnbrudd. Mer enn en halv million kontoer ble eksponert og solgt på det mørke nettet for så lite som 0,02 dollar per konto. Dette innbruddet førte til forstyrrelser i viktige møter, og angriperne benyttet muligheten til å dele sjokkerende og pornografiske videoer i møter. Zooms manglende evne til å håndtere det plutselige store antallet brukere og endringene i deres atferd under pandemien er et annet eksempel på hvordan cybersikkerhet kan bli oversett når det ikke er tilpasset den raskt skiftende teknologiske virkeligheten.

Et annet alvorlig angrep ble utført mot Cognizant Technology Solutions, der en løsepengevirus fra Maze-gruppen førte til at selskapet måtte betale nesten 70 millioner dollar for å hindre ytterligere lekkasje av sensitive kundeopplysninger. Dette angrepet førte til tyveri av blant annet finansielle kontoinformasjoner, passord, og førerkortdetaljer. Hendelsen viser hvordan cyberkriminelle kan bruke løsepengeangrep som en metode for å presse selskaper til å betale for å hindre offentliggjøring av stjålet informasjon.

I et annet tilfelle ble det rapportert at omkring 160 000 Nintendo-brukere ble ofre for en masse-hijacking av kontoer. Hackerne fikk tilgang til betalingssystemene som var tilknyttet disse kontoene, som PayPal og kredittkort, og benyttet informasjonen til å foreta uautoriserte kjøp. Dette innbruddet førte til avsløring av brukerens personlige informasjon, som for eksempel kallenavn, kjønn og dato for fødsel. Nintendo avslørte senere at ytterligere 140 000 kontoer hadde blitt kompromittert.

Whisper, en applikasjon som markedsførte seg som et trygt rom for anonymitet, opplevde et betydelig datainnbrudd da 900 millioner brukerposter og metadata ble eksponert. Denne hendelsen avdekket brukernes plassering, personlige bekjennelser, etnisitet og andre personlige detaljer. Slike hendelser viser hvordan sikkerheten til såkalte anonyme plattformer kan være betydelig svakere enn mange antar.

Når vi ser på disse tilfellene, ser vi at cyberkriminalitet stadig blir en større trussel i den digitale tidsalderen. I 2020 var tyveri av sensitiv data det raskest voksende segmentet innen cyberrelatert kriminalitet. Dette skjer på grunn av økt eksponering av personlig informasjon gjennom skybaserte tjenester, den utbredte bruken av smarte enheter og Internet of Things (IoT), samt muligheten for cyberkriminelle å operere anonymt på det mørke nettet.

Antallet datainnbrudd har økt med 11 % globalt, og kostnadene for selskaper har steget dramatisk. Fra 1,4 millioner dollar i gjennomsnittlige kostnader per angrep i 2020, har dette tallet økt til 13 millioner dollar i 2021. For eksempel kostet cyberkriminalitet i Afrika kontinentet omtrent 3,5 milliarder dollar i 2017. Mange fremvoksende markeder, som de i Afrika, opererer under det som kan kalles "cybersikkerhetens fattigdomsgrense", og de er derfor spesielt utsatt for angrep.

Denne økningen i cyberangrep kan ikke bare tilskrives økonomiske faktorer, men også de strukturelle svakhetene i flere lands cybersikkerhetsinfrastruktur. De fleste av disse markedene har ikke tilstrekkelige ressurser til å beskytte seg mot angrep, og dette har ført til et globalt gap i cybersikkerhet som gjør mange sårbare for utnyttelse.

Det er viktig å forstå at disse bruddene på datasikkerhet ikke bare handler om økonomisk tap, men også om personvern og den personlige sikkerheten til individene som blir berørt. Når informasjonen som er stjålet inneholder sensitive opplysninger, kan konsekvensene for de berørte være alvorlige og langvarige. Det er derfor avgjørende at både selskaper og individer er bevisste på risikoene og tar nødvendige forholdsregler for å beskytte sin informasjon.

Hvordan utforske ukjente og ugjestmilde områder: Leksjoner fra fortidens oppdagelsesreisende
Hvorfor Velger Vi Narcissister og Sosio-Patere – Og Hvordan Kan Vi Stoppe Det?
Hvordan fungerer konvolusjon i nevrale nettverk?
Hvordan sikres korrekt behandling av stive legemers rotasjoner i ikke-lineær analyse av bjelkestrukturer?
Hvordan FinOps Skaper Verdi Gjennom Forvaltning av Kostnader i Skymiljøer
Hva truer menneskeheten mer: Utvidelsen eller innskrenkningen av horisonter?