Cybersäkerhetsrisker måste prioriteras på samma sätt som utvecklingen av IT-infrastruktur. Företag måste utveckla strategier för att utvärdera cybersäkerheten för sina tillgångar och riskerna kopplade till potentiella dataintrång. Styrelsen måste förstå att cybersäkerhet är ett övergripande riskhanteringsproblem för hela företaget, som måste hanteras ur ett tvärfunktionellt, strategiskt och ekonomiskt perspektiv. Cybersäkerhet får inte betraktas som ett enbart IT-relaterat problem, utan som ett hot som kan orsaka skada för intressenter, störa affärsverksamheten och äventyra säkerheten för konfidentiell information och företagets tillgångar. Därför bör övervakningen av cyber-riskhantering vara ett ansvar för samtliga medlemmar i styrelsen.

En viktig aspekt är att styrelsen inte kan förlita sig på en enda metod för att hantera alla cybersäkerhetsrelaterade risker. Styrelsemedlemmarna måste utveckla planer som är skräddarsydda för att effektivt hantera alla tänkbara former av cybersäkerhetsrisker. Företagen måste också skapa en organisatorisk kultur som säkerställer att alla anställda tar cybersäkerhetsfrågor på allvar. I detta avseende bör bästa praxis för cybersäkerhet integreras i personalutbildningar och interna workshops. Anställda måste även hållas uppdaterade om framväxande cyberhot från olika delar av världen.

En strategi som omfattar hela organisationen måste antas för att bemöta cybersäkerhetsutmaningar och mildra effekterna av cyberattacker. Effektiv företagsstyrning när det gäller cyber-risker är nödvändig för att minska de negativa konsekvenserna av cyberattacker. Styrelsen måste vara fullt engagerad i utvecklingen, implementeringen och anpassningen av de strategier som etableras för att hantera cyberhot och cybersäkerhetsrisker. Dessutom måste styrelsen allokera tillräckliga resurser för att hantera både kända och okända cyberhot. Styrelsemedlemmarna måste också säkerställa att den högsta ledningen inkorporerar riskbedömning och cyberresiliens i företagets affärsstrategi och i den övergripande riskhanteringsplanen för hela organisationen.

En stor utmaning är att hantera alla möjliga cybersäkerhetsrisker i ett företags ekosystem. Dessa svårigheter beror på de sofistikerade metoder som cyberbrottslingar använder för att genomföra sina attacker. Till exempel har framväxten av spear phishing gjort det möjligt för cyberbrottslingar att framgångsrikt genomföra intrång i känsliga databaser. Denna form av cyberattack äventyrar ofta konfidentialiteten och integriteten hos känslig data som lagras i olika system. Vidare kan en affärsmodell som involverar flera leverantörer och återförsäljare från olika regioner och länder öka ett företags exponering för cyberrisker. Mergers och förvärv av företag ökar också cybersäkerhetsriskerna på grund av den dåliga integrationen av komplexa system under kort tid. Företag finner det också svårt att skapa ett säkert system för att hantera nivån på anslutningen mellan leverantörer, kunder, partners och den interna nätverksstrukturen.

De mest kända fallen av dataintrång har ofta sitt ursprung i sårbarheter hos de leverantörer eller återförsäljare som är anslutna till företagens interna nätverk. Detta beror ofta på att företag har etablerat förtroendebaserade relationer med sina leverantörer, vilket leder till att stora mängder kundinformation delas med externa aktörer. Cyberbrottslingar utnyttjar dessa svagheter för att få obehörig åtkomst till konfidentiell företagsinformation.

En annan potentiell sårbarhet för cybersäkerheten är lagringen av stora mängder känslig data på externa nätverk eller offentliga moln. Eftersom företagen inte har full kontroll över dessa nätverk, utgör det en stor risk. Många företag antar att molnleverantörer kommer att vidta tillräckliga säkerhetsåtgärder för att skydda deras data, vilket ofta är en farlig missuppfattning. Styrelsen måste därför säkerställa att ledningen bedömer cybersäkerheten för både företagets egna nätverk och för det stora affärsekosystem som företaget är en del av.

Styrelsen måste regelbundet engagera den högsta ledningen i diskussioner om de olika nivåerna av cybersäkerhetsrisker som finns inom företagets affärsverksamhet. Det är också viktigt att styrelsen samarbetar med ledningen för att utveckla en lämplig cybersäkerhetsstrategi, risktolerans och en posture som passar företagets behov. Styrelsen bör särskilt noga följa företagets mest värdefulla tillgångar och instruera ledningen om hur man skyddar dessa tillgångar mot potentiella cyberattacker.

Trots medvetenheten om styrelsens ansvar att övervaka cybersäkerhetsrisker, är det ofta så att medlemmarna inte vet hur man effektivt hanterar dessa risker. Cybersäkerhetsrisker kan aldrig elimineras helt, men de kan hanteras genom att utveckla en företagsspecifik riskhanteringsstrategi. För att uppnå detta måste styrelsemedlemmarna vara villiga att undersöka olika tillvägagångssätt för att förbättra företagets säkerhet. Några av dessa metoder inkluderar att delegera specifika cybersäkerhetsfrågor till relevanta kommittéer som kan ge ett mer fokuserat perspektiv och genomföra regelbundna möten för att diskutera cybersäkerhetens övergripande betydelse för företaget.

Styrelsen bör också skapa tydliga kriterier vid nomineringen av medlemmar till cybersäkerhetskommittéer. När kommittéerna väl har bildats måste de säkerställa att de valda strategierna är genomförbara och passar företagets specifika behov. Regelbundna möten mellan styrelsen och cybersäkerhetskommittén är avgörande för att hålla företaget uppdaterat om nya hot och digitala möjligheter, samt deras potentiella konsekvenser för cybersäkerheten.

Hur styrelsen bör hantera cyber-risker och säkerställa cybersäkerhet i företaget

Styrelsen i ett företag har ett stort ansvar när det gäller att ta strategiska beslut om hantering av cyber-risker och säkerställa cybersäkerhet. Även om det inte är obligatoriskt att ha en cybersäkerhetsexpert i styrelsen, måste medlemmarna förstå var ansvaret för cybersäkerhet ligger inom organisationen. I många fall kan detta ansvar ligga på en särskild styrelsekommitté, en senior ledningsexekutiv eller på hela styrelsen. Att förstå de risker och hot som är kopplade till cyberattacker är avgörande för att kunna fatta välgrundade beslut som skyddar företagets långsiktiga stabilitet.

Ett grundläggande steg för att uppnå denna förståelse är att integrera extern kompetens i form av oberoende cybersäkerhetsexperter. Styrelsen kan, trots att den kanske inte direkt tillsätter en cybersäkerhetsexpert, skapa förutsättningar för att få externa synpunkter och genomföra grundliga genomgångar och utbildningar som lyfter fram aktuella trender och hot inom cybersäkerhet. Oavsett om dessa synpunkter kommer från externa revisorer, oberoende rådgivare eller externa konsulter, är det viktigt att styrelsen får en bred förståelse för de cybersäkerhetsutmaningar som företaget står inför. En sådan utbildning och insyn stärker styrelsens förmåga att fatta strategiska beslut och reagera på snabbt föränderliga hotbilder.

Det är också viktigt att styrelsen är medveten om att cybersäkerhet är en dynamisk och ständigt utvecklande disciplin. Medan många av styrelseledamöterna har lång erfarenhet inom sina respektive områden, krävs det att de har en övergripande förståelse för företagsövergripande riskhantering för att kunna hantera cyber-hot effektivt. Detta innebär att styrelsen måste vara villig att anpassa sig till nya risker och vara flexibel när det gäller att förstå och hantera potentiella cyber-attacker. Många organisationer arbetar idag i en digitaliserad värld där det är omöjligt att helt eliminera risken för en cyberattack. Den digitala sammanlänkningen gör företag sårbara, eftersom cyberbrottslingar ofta har mer avancerade resurser än stora företag. Därför krävs ett holistiskt angreppssätt för att hantera riskerna, och styrelsen måste vara medveten om att även den mest sofistikerade säkerhetsstrategi inte kan garantera 100 % skydd.

För att bemöta dessa hot är det avgörande att styrelsen etablerar en tydlig och strukturerad rapporteringsprocess som ger en konkret bild av hur cybersäkerhetsarbetet framskrider. Många gånger får styrelsemedlemmar rapporter från ledningen som är svårt att tolka, vilket gör det svårt att bedöma organisationens faktiska cybersäkerhetsstatus. Här spelar styrelsen en avgörande roll genom att sätta tydliga förväntningar på hur dessa rapporter ska se ut, inklusive format, detaljer och frekvens. Det är också viktigt att förstå att det kan finnas en viss grad av bias i dessa rapporter, där ledningen ibland underskattar eller förminskar allvaret i de cyber-risker som företaget står inför. En öppen och transparent kultur kring cyber-riskrapportering är därför en nyckel för att säkerställa att styrelsen får korrekt och objektiv information.

En annan central aspekt är att styrelsen måste insistera på att företaget har en effektiv och heltäckande cyber-riskhanteringsram. Detta innebär att företaget måste göra en ordentlig bedömning av sin cyber-riskprofil och hotbild. Utan en väl utvecklad riskbedömningsmekanism kan organisationen riskera att fatta beslut baserade på felaktiga eller otillräckliga antaganden. För att säkerställa att rätt resurser finns för att hantera dessa risker, måste styrelsen ha en god insikt i vilka resurser som krävs för att motverka cyberhoten.

Cybersäkerhet är inte bara ett tekniskt problem utan ett strategiskt affärsproblem som kräver att ledningen och styrelsen samverkar för att identifiera, bedöma och hantera riskerna. Styrelsen måste aktivt skapa och främja en kultur där cybersäkerhet är en prioritet på alla nivåer i organisationen, från den operativa nivån till de högsta ledningsnivåerna. Detta är särskilt viktigt eftersom digitaliseringen har gjort det möjligt för företag att operera på en global skala, vilket i sin tur innebär att det finns fler potentiella sårbarheter och större exponering för cyberbrott.

Företag som inte har en väl utvecklad cybersäkerhetsstrategi riskerar inte bara ekonomiska förluster utan kan även få allvarliga konsekvenser för sitt rykte och förtroendet hos sina kunder, aktieägare och andra intressenter. Styrelsen måste därför vara proaktiv och skapa en robust struktur för hantering av cyberrisker, som innefattar både förebyggande åtgärder och handlingsplaner för att snabbt kunna svara på incidenter när de inträffar.

Hur Styrelseansvar och Cyber-Risköversyn Påverkar Företags Säkerhet och Rykte

I dagens digitala värld är cybersäkerhet en av de mest kritiska områdena för företags långsiktiga framgång. Styrelsens ansvar i att övervaka cyberrisker har blivit allt mer relevant, inte bara ur ett säkerhetsperspektiv, utan också för att skydda företagets rykte och förtroende hos allmänheten. Den senaste utvecklingen inom områden som arbetsplatsbeteende och misskötsel har påmint oss om vikten av att sätta en rätt ton på högsta ledningsnivå (Internet Security Alliance, 2020). När anställda bryter mot cybersäkerhetsregler eller inte följer säkerhetsstandarder kan det få långtgående konsekvenser för företagets kultur, de anställdas moral och allmänhetens uppfattning om företaget. Styrelsens sena eller bristande respons på sådana händelser kan leda till allvarliga skador på företagets rykte och dess framtida verksamhet.

Trots de allvarliga cyberriskerna och de juridiska konsekvenserna av bristande övervakning, är det fortfarande många styrelser som inte implementerat tillräckliga åtgärder för att effektivt hantera dessa frågor. I många fall samarbetar styrelsemedlemmarna inte tillräckligt nära med företagsledningen för att skapa och genomföra policies och rutiner som förhindrar och mildrar cyberrisker (Internet Security Alliance, 2020). Styrelsen måste ta sitt ansvar på allvar och säkerställa att de arbetar tillsammans med ledningen för att skapa en robust struktur för att hantera cybersäkerhet. Detta innebär också att styrelsen regelbundet måste granska och uppdatera de policies och rutiner som är en del av organisationens dagliga verksamhet. Styrelsen bör även samarbeta med företagsledningen för att utveckla en effektiv responsplan för eventuella cybersäkerhetsincidenter (Lipton et al., 2018). Denna plan bör involvera alla relevanta avdelningar, inklusive juridisk rådgivning, personalavdelning och PR-personal.

Styrelsens roll i cyber-risköversyn är inte enbart ett tekniskt eller operativt ansvar; det är också en del av de så kallade fiduciariska plikterna, som härstammar från lagstiftning på både statlig och federal nivå, samt från internationella och nationella regleringar och bästa praxis (Lipton et al., 2018). Enligt Delaware-domstolarna, som har varit avgörande för att fastställa de juridiska normerna för styrelsens fiduciariska plikter, är styrelsen ansvarig om den inte fullgör sitt övervakningsansvar, särskilt när det gäller att hantera cyberrisker (Lipton et al., 2018). Ett tydligt exempel på detta var fallet med Citigroup, där styrelsen blev stämd för att inte ha fullföljt sina övervakningsuppgifter när det gällde kredit- och subprime-marknaderna. Även om domstolen avslog fallet, markerade det ändå en viktig påminnelse om att styrelsemedlemmar kan bli hållna ansvariga om de misslyckas att ta itu med red flags eller risker som är uppenbara för verksamheten.

Det är viktigt att förstå att för att kunna hålla styrelsemedlemmar ansvariga krävs det bevis på en systematisk eller långvarig försummelse i övervakningsansvaret. I flera fall, som exempelvis mot Goldman Sachs och Duke Energy, har domstolarna avslagit stämningar eftersom klagandena inte kunnat bevisa att styrelsen medvetet ignorerade allvarliga risker (Lipton et al., 2018). Detta visar på den höga bevisbörda som krävs för att hålla en styrelse ansvarig för att inte ha agerat trots uppenbara varningssignaler. I kontrast till detta, i fallet med Wells Fargo, fann domstolen att styrelsen hade underlåtit att hantera uppenbara varningssignaler om olagliga aktiviteter som genomfördes av anställda, vilket ledde till en fällande dom för styrelsen.

Det är avgörande för alla företag att styrelsen aktivt engagerar sig i att identifiera och adressera cyberrisker innan de leder till skador eller brott mot lagen. Dessutom, när styrelsen inte fullföljer sitt ansvar för att övervaka och agera på varningssignaler, kan detta inte bara skada företagets ekonomi, utan även dess rykte och förtroende på marknaden. Vidare bör styrelser se till att de har en detaljerad, välkommunicerad plan för att hantera cybersäkerhetsincidenter, samt att den är testad och uppdaterad regelbundet.

Endtext

Hur C-suite bör hantera insiderhot genom övervakning och riskhantering

I dagens digitala värld är insiderhot ett av de största riskerna för företags och organisationers cybersäkerhet. Att skydda företagsinformation från både externa och interna hot kräver en medveten och målmedveten strategi från företagsledningen. C-suite, det vill säga den högsta ledningen inklusive CEO, CIO och CISO, har ett kritiskt ansvar när det gäller att definiera och implementera processer som säkerställer skyddet av företagets information och infrastruktur.

En central aspekt för att skydda sig mot insiderhot är att kunna identifiera och förstå potentiella risker som kommer från användare med privilegierad åtkomst. Medarbetare som har tillgång till känslig information och system är ofta de som utgör största hotet, särskilt om de har stora privilegier eller är i en ledande position. Dessa personer kan avsiktligt eller oavsiktligt äventyra företagets säkerhet, vilket gör det avgörande att C-suite genomför kontinuerliga inspektioner och övervakningar av anställdas aktiviteter.

För att minimera riskerna bör högsta ledningen arbeta tillsammans med styrelsen och andra kommittéer för att utveckla interna riktlinjer och policyer för övervakning. Dessa riktlinjer bör fokusera på att identifiera och hantera aktiviteter som kan indikera avvikelser, till exempel kopiering av stora filer till USB-enheter, utskrifter i stora volymer vid udda tider eller åtkomstförsök till känslig information. Genom att skapa en grund för systematisk övervakning och tydliga instruktioner för hantering av dessa aktiviteter kan C-suite identifiera potentiella hot i ett tidigt skede.

En annan viktig aspekt är att företagsledningen måste noggrant övervaka användare som står inför förändringar i sin anställning, som exempelvis medarbetare som har sagt upp sig eller står inför uppsägning. Denna grupp utgör ofta en risk eftersom de kan ha tillgång till viktiga system och information innan de lämnar organisationen. Lika viktigt är det att hålla ett öga på tidigare anställda som fortfarande har åtkomst till företagets nätverk eller system. C-suite måste förstå motiv och beteende hos individer som kan vara en del av en potentiell säkerhetsrisk och anpassa övervakningen efter deras roll och engagemang i företaget.

Vidare måste ledningen implementera striktare åtgärder för att skydda företagets immateriella egendom. C-suite bör samarbeta med personal från HR-avdelningen för att identifiera anställda eller externa aktörer som kan vara benägna att utsätta företaget för cyberrisker. Dessa åtgärder kan inkludera övervakning av specifika aktiviteter som att överföra känslig data, vilket kan tyda på försök till stöld av intellektuell egendom.

Övervakning bör inte vara allomfattande, men istället inriktad på de mest värdefulla tillgångarna och användarna som har den största tillgången till dessa. Det är inte möjligt eller praktiskt att övervaka alla data som skickas genom företagets nätverk eller bearbetas av dess system. Därför måste C-suite definiera vilka tillgångar som är mest kritiska för företaget och fokusera på att övervaka de individer som har högst åtkomst till dessa tillgångar. Exempelvis kan specifika policies införas för att övervaka om känslig företagsinformation skickas via e-post eller kopieras till USB-enheter, särskilt för användare i känsliga avdelningar som utveckling och produktion.

Det är också avgörande att skapa särskilda övervakningspolicyer för externa aktörer, såsom konsulter eller outsourcade medarbetare. Dessa grupper bör inte ges fri åtkomst till känslig företagsinformation utan noggrann kontroll och regelbundna säkerhetsinspektioner. Därmed säkerställs att alla aktörer, oavsett om de är interna eller externa, följer företagets säkerhetsregler och policyer för att minimera risken för dataintrång eller missbruk av företagets information.

För att vara effektiv i att hantera insiderhot, måste C-suite ha en noggrant utformad plan för hur information och resurser ska hanteras på ett säkert sätt. Det handlar om att kombinera tekniska lösningar med noggrant genomtänkta policies och att ständigt uppdatera dessa för att möta nya säkerhetshot. En viktig aspekt är att ha verktyg och processer för att snabbt identifiera när någon försöker bryta mot dessa policies, och att kunna skilja mellan oavsiktliga misstag och medvetna brott.

Endtext

Hur man navigerar i utmanande fastighetsmarknader: En insikt i investeringar och långsiktig tillväxt
Hur kan vi optimera järnvägssträckning i urbana områden för att möta komplexa krav och samtidigt bevara miljömässig och social hållbarhet?
Hur kan man noggrant detektera och separera de vertikala och torsional-flexibla frekvenserna för broar?
Hur kvant Hall-effekten upprättas i öppna ledare
Hur påverkar chockvågor människan och vår omvärld?