Cybersäkerhet har blivit en central fråga för alla organisationer i dagens digitala samhälle. För att framgångsrikt hantera cyberrisker och förhindra attacker krävs att ledningen i en organisation inte bara har ett strategiskt perspektiv på cybersäkerhet utan också att den praktiska implementeringen av skyddsåtgärder är genomtänkt och välstrukturerad. En av de viktigaste uppgifterna för styrelsen och ledningen är att skapa en klar struktur för cybersäkerheten och säkerställa att alla nivåer av organisationen följer riktlinjerna.

Ledningen måste först och främst förstå vikten av att definiera och separera olika ansvarsområden och informationsflöden för att förhindra att obehörig åtkomst eller dataläckage sker. Styrelsen och den oberoende kommittén behöver kontinuerligt säkerställa att ledningen implementerar en lämplig cybersäkerhetsfunktion, som inte bara ska förebygga cyberrisker, utan också kunna svara på cyberattacker om de inträffar. En sådan funktion är inte bara en nödvändighet för att reagera på incidenter utan också en proaktiv åtgärd för att minimera eventuella skador från framtida hot.

En viktig aspekt som ledningen behöver hantera är att etablera en beslutsmodellsystem för cybersäkerhet. Denna modell ska vara väl genomtänkt och i samråd med styrelsen innan den implementeras för att säkerställa att alla parter är överens om vilken väg som ska tas. RACI-modellen (ansvarig, ansvarstagande, konsulterad och informerad) är ett användbart verktyg för att säkerställa tydliga roller och ansvar, så att det inte råder några oklarheter när en cyberincident inträffar. RACI skapar en struktur där varje individs roll är klart definierad och kommunikationen sker effektivt i alla led av organisationen.

För att effektivt hantera cyberattacker eller dataintrång måste styrelsen säkerställa att ledningen har identifierat tydliga eskalationspunkter. Dessa punkter ska vara på plats för att snabbt kunna hantera en nödsituation och undvika fördröjningar som kan leda till ytterligare skador. En sådan beredskap för snabba åtgärder kräver att ledningen etablerar specifika vägar för eskalering av cyberhot och sårbarheter, samt att dessa vägar är väl kända av alla relevanta parter.

Förutom de operativa åtgärder som måste vidtas vid en incident, bör ledningen också tänka på långsiktig strategi. En av de viktigaste uppgifterna är att säkerställa att cybersäkerhet blir en integrerad del av organisationens övergripande informationssäkerhetspraxis. Cybersäkerhet är inte något som kan behandlas som en separat funktion; den måste vara en del av hela företagets säkerhetspolicys och processer. Därför behöver ledningen också skapa effektiva gränssnitt mellan cybersäkerhetsfunktionen och andra säkerhetsroller i organisationen.

Ledningen måste också säkerställa att alla risker, både interna och externa, hanteras på ett strategiskt sätt. Detta inkluderar att förstå företagets tolerans för cyberrisker, samt att jämföra cybersäkerhetsinformation med företagets risktrösklar för att identifiera inkonsekvenser. Om riskerna inte ligger inom acceptabla gränser måste omedelbara åtgärder vidtas för att minska dessa risker till en hanterbar nivå.

En annan viktig aspekt är att säkerställa att rätt resurser finns tillgängliga för att hantera cybersäkerheten effektivt. Detta innebär att både interna och externa resurser måste utvärderas för att säkerställa att de är effektiva i att möta organisationens säkerhetsbehov. Ledningen måste också implementera processer som säkerställer att dessa resurser används på ett optimalt sätt och att de kontinuerligt utvärderas för att se till att de är anpassade till de förändrade hotbilderna.

Vidare bör styrelsen och den oberoende kommittén säkerställa att det finns effektiva metoder för att övervaka cybersäkerhetens effektivitet. Detta inkluderar att kontinuerligt mäta effekten av säkerhetsåtgärder och att jämföra nuvarande resultat med förväntade mål för cybersäkerhetsförvandling. En sådan övervakning gör det möjligt att snabbt identifiera avvikelser och vidta åtgärder för att rätta till eventuella problem innan de blir allvarliga.

Slutligen, när det gäller externa leverantörer och partners, måste ledningen vara medveten om de risker som dessa externa relationer kan innebära för cybersäkerheten. Många organisationer outsourcar viktiga funktioner till tredjepartsleverantörer, och dessa leverantörer kan utgöra potentiella ingångspunkter för cyberattacker. Därför bör styrelsen säkerställa att lämpliga säkerhetsprotokoll och krav på cybersäkerhet även gäller för tredje- och fjärdeparter. Detta är en aspekt som ofta förbises men som är avgörande för att bygga ett heltäckande skydd.

En annan viktig sak att tänka på är hur organisationens cybersäkerhetsarbete ska kommuniceras. Det är inte tillräckligt att bara implementera tekniska lösningar; det måste också finnas ett system för att kommunicera incidenter och säkerhetsinformation effektivt både internt och externt. Det gäller att säkerställa att rätt personer får informationen vid rätt tidpunkt och att det finns en kultur av transparens och ansvarstagande.

Hur Styrelsemedlemmar kan Förbättra Riskövervakning i Organisationer

Styrelser har en avgörande roll i att säkerställa att riskövervakningen i en organisation är både effektiv och väl genomförd. Den information som styrelser får om risker, ofta formulerad genom särskilda riskramverk, hjälper dem att identifiera områden med högsta risker i organisationen. Genom att noggrant följa regulatoriska krav kan styrelsen också säkerställa att de är i linje med aktuella lagar och förordningar som kan påverka verksamheten. Exempel på sådana lagar är Dodd-Frank Wall Street Reform, Sarbanes-Oxley Act och Consumer Protection Act, som alla varit resultat av politiska beslut med syfte att stärka regleringen av den finansiella sektorn (Gupta & Leech, 2015).

Trots dessa åtgärder har den senaste tidens ökade förekomst av finansiella kriser och skandaler lett till frågor om effektiviteten i styrelsens riskövervakning. Företag har tvingats hantera allt från valutaskandaler till miljarder stora böter för penningtvätt och obehörig skatteplanering. För att bemöta dessa utmaningar måste styrelserna hålla ett vaksamt öga på den regulatoriska utvecklingen, inte bara i USA utan även i andra regioner som Storbritannien, där liknande åtgärder kan komma att tillämpas (Gupta & Leech, 2015).

För att effektivt hantera risker är det viktigt att styrelsen, tillsammans med senior ledning, utvecklar och underhåller ett system för kontinuerlig riskdialog. De bör etablera starka relationer med oberoende kommittéer och arbeta för att säkerställa att resurser tilldelas för att bygga och implementera effektiva riskhanteringssystem. Styrelsen har också ansvar för att anpassa riskhanteringsstrategier till de specifika risker som organisationen står inför. De riskhanteringssystem som införs bör säkerställa att risker identifieras och hanteras på ett systematiskt och proaktivt sätt (Lipton et al., 2018).

För att riskhantering ska kunna genomföras på ett effektivt sätt krävs det att styrelsen och ledningen vidtar flera konkreta åtgärder. För det första behöver de regelbundet granska företagets riskaptit och toleransnivåer, och säkerställa att företagets affärsstrategi är i linje med dessa gränser. Detta kräver en noggrant genomförd riskbedömning som tar hänsyn till risker på både individuell och samlad nivå, samt identifiering av eventuella riskkoncentrationer och deras potentiella påverkan.

Vidare måste styrelsen och ledningen samarbeta för att skapa ett tydligt ramverk som gör det möjligt att hålla verkställande direktören ansvarig för att utveckla och upprätthålla en effektiv riskaptitstruktur. Detta inkluderar också att se till att styrelsen får regelbundna uppdateringar om företagets residualrisker – de risker som kvarstår efter att åtgärder har vidtagits för att minimera dem. Samtidigt är det nödvändigt att styrelsen och ledningen gemensamt utvärderar de olika typer av risker som kan uppkomma och noggrant följer de åtgärdsplaner som sätts upp för att motverka dem (Lipton et al., 2018).

Styrelsen bör också säkerställa att det finns en klar och transparent process för att identifiera nya eller förändrade risker, samt att den ledning som ansvarar för att hantera dessa risker verkligen har tillgång till den information som behövs för att snabbt kunna reagera på förändringar. Detta kräver både en tydlig rapportering och att ledningen förstår de potentiella effekterna av nya risker på organisationens prestationer.

För att skapa en kultur där riskhantering prioriteras är det också viktigt att styrelsen noggrant granskar företagets belöningsstrukturer. Styrelsen bör se till att dessa strukturer är anpassade till företagets riskaptit och riskkultur och att de skapar incitament för ett ansvarsfullt riskbeteende. Denna översyn ska även inkludera en noggrann granskning av de policyer och procedurer som implementeras av ledningen för att hantera risker, och säkerställa att dessa är både omfattande och relevanta för verksamhetens behov.

Slutligen måste styrelsen och de oberoende kommittémedlemmarna noggrant granska kvaliteten på den riskrelaterade informationen som tillhandahålls. De bör också säkerställa att riskhanteringsfunktionerna är oberoende och att dessa processer är skyddade från intern påverkan som kan snedvrida objektiviteten i riskbedömningarna.

Det är avgörande att styrelsen har en djup förståelse för de risker som organisationen kan möta, och att den inte bara följer regler utan också proaktivt arbetar med att skapa en robust riskhanteringskultur. Det är en kontinuerlig process där styrelsen, i samarbete med ledningen, måste ta ett aktivt ansvar för att säkerställa att riskhantering är inbäddad i alla aspekter av verksamheten och att de förväntningar som ställs på riskövervakning är både realistiska och hållbara. Endast genom ett sådant systematiskt och proaktivt tillvägagångssätt kan en organisation effektivt hantera de risker som är en naturlig del av dagens komplexa affärsmiljö.

Hur bör styrelser hantera risker relaterade till cybersäkerhet och ESG?

En styrelse har en avgörande roll i att säkerställa att ett företag har tillräckliga system för att hantera cybersäkerhetsincidenter och att det finns en tydlig strategi för att hantera miljömässiga, sociala och styrningsrelaterade (ESG) risker. För att minimera riskerna är det viktigt att styrelsen inte bara skapar interna riktlinjer utan också engagerar sig i extern samverkan med relevanta myndigheter och intressenter. Styrelsemedlemmarna bör dessutom vara väl insatta i teknikens utveckling och säkerställa att företaget har nödvändiga resurser för att hantera och mildra eventuella hot, både på kort och lång sikt.

En avgörande aspekt av denna process är att se till att företaget har de rätta resurserna och kompetenserna för att snabbt kunna agera vid en cybersäkerhetsincident. Styrelsemedlemmarna bör ha en grundläggande förståelse för teknologi och cybersäkerhet, vilket gör det möjligt att effektivt styra verksamheten vid en kris. Det handlar inte bara om att reagera snabbt på incidenter utan också om att ha förmågan att förutse och förhindra potentiella hot. Genom att etablera relationer med relevanta myndigheter och andra aktörer inom cybersäkerhet kan styrelsen säkerställa att företaget är förberett för att hantera sådana incidenter proaktivt.

När det gäller ESG-risker är det viktigt att styrelsen hanterar dessa på ett strategiskt sätt. Företag måste identifiera och ta itu med risker som rör bland annat arbetsvillkor, miljöpåverkan, produkt- och konsumentsäkerhet, samt säkerställa en hållbar leveranskedja. Den offentliga och institutionella granskningen av företagets hållbarhetsarbete har ökat markant, och aktieägare kräver att styrelserna inte bara hanterar dessa risker utan också rapporterar om sina åtgärder på ett transparent sätt. Styrelserna ska regelbundet bedöma företagets riskaptit och risktolerans, särskilt när det gäller ESG-frågor, och ta fram riskhanteringsplaner som kan mildra potentiella negativa effekter.

I praktiken innebär detta att styrelsen måste arbeta nära den operativa ledningen för att utveckla och implementera lämpliga åtgärder för att hantera ESG-risker. Att skapa fokuserade kommittéer, som en hållbarhetskommitté eller en kommitté för företagsansvar, är ett effektivt sätt att hantera dessa risker. Dessa kommittéer får specifika mandat för att övervaka och uppdatera företagets riktlinjer och strategier för hållbarhet och riskhantering. Det är också viktigt att dessa kommittéer samarbetar med andra interna funktioner, till exempel revisionskommittén, för att säkerställa en helhetslösning på företagsnivå.

Det är avgörande för styrelsen att ha en aktiv dialog med institutionella investerare och andra aktieägare för att främja en ökad medvetenhet om miljömässiga och sociala frågor. Rapportering om företagets framsteg och svar på dessa frågor är inte bara en fråga om efterlevnad utan också en möjlighet att bygga förtroende och långsiktiga relationer med externa intressenter. Därför bör styrelsen regelbundet följa upp och rapportera om hur företaget arbetar med dessa frågor, samt hur åtgärder och strategier uppdateras i takt med att omvärlden förändras.

Vid hantering av ESG-risker krävs en långsiktig strategi som inte bara är inriktad på att möta omedelbara krav utan också på att skapa en hållbar affärsmodell för framtiden. Styrelsen bör säkerställa att företaget inte bara är proaktivt när det gäller att identifiera och hantera risker, utan också att det har robusta system för att mäta och rapportera sin påverkan på miljön och samhället.

Med denna grundförståelse och engagemang kan styrelsen och den operativa ledningen tillsammans skapa en stark och hållbar riskhanteringskultur inom organisationen. Detta är inte bara en fråga om att skydda företagets intressen, utan också om att bidra till ett större samhällsansvar och att anpassa sig till de krav som ställs av både investerare och konsumenter i en allt mer medveten värld.

Vilka cybersäkerhetsmått är avgörande för att skydda en organisation mot cyberhot?

Cybersäkerhetsmått och sårbarhetsskanningar är en grundläggande del av de säkerhetsåtgärder som implementeras för att minimera risken för utnyttjande av sårbarheter av cyberbrottslingar. Dessa mått, som vanligtvis används av C-suite (högnivåchefer) i en organisation, ger en objektiv bild av den aktuella cybersäkerheten och hjälper till att identifiera och hantera potentiella risker. Enligt Tunggal (2021) är det nödvändigt för C-suite att ständigt övervaka och förstå olika mått för att kunna reagera på och förhindra cyberattacker.

Ett centralt mått är antalet intrångsförsök, vilket gör det möjligt för ledningen att hålla koll på hur ofta cyberangripare lyckas få obehörig åtkomst till system eller nätverk. Genom att granska brandväggsloggar kan den högsta ledningen samla tillräckligt med bevis och bättre förstå de potentiella hoten. Antalet cybersäkerhetsincidenter är ett annat kritiskt mått, där man följer antalet gånger en cyberangripare har brutit sig in i nätverken eller äventyrat organisationens informationstillgångar.

En annan viktig indikator är genomsnittlig tid för att upptäcka cybersäkerhetsincidenter. Detta mått reflekterar hur lång tid det tar för säkerhetsteamet att upptäcka tecken på att företagsresurser har blivit komprometterade eller att andra cybersäkerhetshot har uppstått. C-suite måste notera hur lång tid hot kan gå obemärkta innan de upptäcks, eftersom detta har direkt påverkan på organisationens förmåga att svara på dessa hot.

Genomsnittlig tid för att lösa cybersäkerhetsincidenter och genomsnittlig tid för att hantera incidenter är andra viktiga mått. De ger en indikation på hur snabbt och effektivt säkerhetsteamet reagerar på och hanterar upptäckta hot. En för lång svarstid kan tyda på brister i incidenthanteringsplanen och kräver omedelbar uppmärksamhet för att stärka organisationens cybersäkerhetsberedskap.

För att kunna kommunicera cybersäkerhetsstatusen på ett enkelt och begripligt sätt till alla anställda i organisationen, använder många företag så kallade förstapartscybersäkerhetsbetyg. Dessa betyg, som kan ges i form av bokstavsbetyg, gör det möjligt för alla anställda att snabbt förstå hur väl organisationens säkerhetsåtgärder fungerar. Dessa betyg kan inkludera faktorer som phishingrisker, nätverks- och e-postsäkerhet, och sårbarheter i systemet, vilket gör det lättare för ledningen att kommunicera de mest akuta riskerna till andra.

Genom att hålla koll på medelvärden för leverantörers cybersäkerhetsbedömning kan C-suite också övervaka hot som kommer från externa parter. Många cyberattacker utnyttjar sårbarheter i tredje parts nätverk, vilket innebär att det är lika viktigt att övervaka leverantörers cybersäkerhetsåtgärder som egna interna säkerhetskontroller. Detta kan göras genom att analysera den tid det tar för externa parter att åtgärda sårbarheter och hur snabbt de kan hantera cybersäkerhetsincidenter.

Patchingcadens är ett annat kritiskt mått som relaterar till hur snabbt säkerhetsteamet kan uppdatera programvara och adressera kända sårbarheter. Ett exempel på hur kritisk denna åtgärd är, är WannaCry-ransomware-attackerna som utnyttjade en så kallad "zero-day"-sårbarhet. Trots att en patch släpptes snabbt efter upptäckten av sårbarheten, ledde den långsamma implementationen av uppdateringar till att många organisationer blev offer för attacken.

För att minimera risken för privilegierade åtkomstattacker måste C-suite också hålla koll på antalet användare med administratörsrättigheter. Detta kan göras genom att begränsa åtkomsten för lägre nivåer av personal och säkerställa att strikta principer för åtkomstkontroll finns på plats.

Att jämföra organisationens cybersäkerhetsprestanda med branschens genomsnitt är ett annat mått som hjälper C-suite att förstå var de står i förhållande till sina konkurrenter. Denna typ av benchmarking gör det lättare för ledningen att identifiera styrkor och svagheter i organisationens säkerhetsstrategi och att göra justeringar där det behövs.

En mer omfattande förståelse för de externa riskerna som leverantörer kan medföra är också av yttersta vikt. Genom att analysera leverantörernas patchingcadens och deras respons på cybersäkerhetsincidenter kan C-suite identifiera potentiella svagheter i sina tredjepartsrelationer och stärka leverantörshanteringen. Detta innebär att effektiva riktlinjer för hantering av externa risker måste utvecklas och implementeras.

Sammanfattningsvis är det avgörande för C-suite att noggrant välja och övervaka cybersäkerhetsmått och nyckeltal som speglar organisationens behov och riskprofil. Utan en korrekt förståelse och rätt hantering av dessa mått kan organisationen stå inför stora risker som är svåra att hantera i ett allt mer cyberhotat landskap.

Hur kan organisationer skydda sig mot illvilliga insiders och dataintrång från egna anställda?

I takt med att cyberhot blir mer sofistikerade och svårupptäckta har den interna hotbilden inom organisationer fått ökad uppmärksamhet. Det handlar inte längre enbart om yttre attacker från hackare, utan även om illvilliga insiders – personer med åtkomst till känslig information – som medvetet utnyttjar sin position för att skada företaget.

När data förloras eller läcker ut kan det bero på till synes oskyldiga misstag, som när en anställd tappar bort en dator innehållande kunduppgifter. Men i många fall är det fråga om medvetna handlingar, där insiders säljer kunddata vidare till exempelvis aktörer på den mörka webben. Dessa individer är ofta tillfälligt knutna till företaget – som konsulter, underleverantörer eller externa samarbetspartners – och har därmed svag lojalitet gentemot organisationen.

Det är därför avgörande att högsta ledningen – inklusive Chief Information Officer (CIO), Chief Information Security Officer (CISO) och verkställande direktör – kontinuerligt övervakar misstänkta aktiviteter kring hantering av personuppgifter. Händelser som att kunddata kopieras eller laddas ner till USB-enheter utan tillstånd måste dokumenteras, utredas och rapporteras vidare till styrelsen. En välfungerande loggning av sådana händelser möjliggör inte bara incidentrekonstruktion, utan fungerar även som ett preventivt verktyg.

Särskild vaksamhet krävs när det gäller immateriella tillgångar som exempelvis egenutvecklade algoritmer, CAD-filer eller produktplaner. Dessa kan bli mål för illvilliga insiders som i hopp om personlig vinning, som att säkra en framtida anställning hos en konkurrent, läcker eller säljer företagshemligheter vidare. Att skicka anonym information till konkurrenter eller att avsiktligt sprida konfidentiellt material är handlingar som kan förstöra åratal av utvecklingsarbete och försätta företag i kris.

För att upptäcka sådana hot bör organisationer granska ovanliga beteenden som filöverföringar under nattetid, oregelbundna användningar av externa lagringsenheter och andra avvikelser i användaraktivitet. Instant messaging utanför policy, okrypterad kommunikation eller otillåten programvaruanvändning bör ses som varningssignaler. Genom att kartlägga och analysera dessa mönster i realtid kan man bygga en robust händelsekedja som underlättar snabb åtgärd vid incident.

Inom finanssektorn, där enorma summor flyttas dagligen, är det särskilt viktigt att ha interna kontroller för att förhindra manipulation av ekonomisk data. Otillåtna ändringar av fakturor, bokföring eller användarkonton kan utgöra ekonomisk brottslighet och måste därför hanteras med nolltolerans. Sarbanes-Oxley Act har i detta sammanhang skapat ett rättsligt ramverk som tvingar företagsledare att personligen ansvara för noggrannheten i finansiell rapportering. I praktiken innebär detta att organisationer måste kunna spåra varje användares handlingar för att identifiera potentiella avvikelser och upptäcka försök till bedrägeri.

Beteenden som att medvetet koppla bort sin dator från företagets nätverk eller att missbruka kryptering för att dölja olovliga aktiviteter är strategier som används av insiders för att dölja sina spår. Detta kräver att företag inte bara inför tekniska skydd utan också utbildar sina säkerhetsteam i avancerade analystekniker, inklusive användning av AI-baserade övervakningsverktyg. Att samla in och analysera detaljerad metadata kring användaraktivitet blir då ett verktyg för att både avslöja och förebygga illvilliga handlingar.

Privilegierade användare, som systemadministratörer och nätverkstekniker, utgör en särskild risk. Deras tekniska kompetens och breda åtkomsträttigheter gör att de både har kapaciteten och möjligheten att utföra avancerade cyberattacker inifrån. Att dessa individer kan skapa bakdörrar, implementera destruktiv kod eller sabotera system kräver att C-suiten inför särskilda riktlinjer för dessa roller. Samtidigt måste detaljerade loggar sparas och analyseras – allt från användarinloggningar och kontoskapanden till förändringar i systemfiler. Att kunna återskapa händelseförlopp i efterhand är centralt för att förstå motiv och ageranden.

Att genomföra utredningar mot just dessa privilegierade användare är extra komplicerat eftersom de har verktyg och kunskap att dölja sina spår. Därför är det nödvändigt att utveckla

Hur kan vi hantera cellens senescens för att fördröja neurodegenerativa sjukdomar?
Hur påverkar pipeline- och kompressortekniker effektiviteten i väteöverföring och lagring?
Hur omdesignen av CNC-maskiner förbättrar prestanda och precision i utväxling
Vad gör de olika oxy-förbränningscyklerna med superkritisk CO2 till en lovande energilösning?