CFCS: Bestyrelser uden it-sikkerhedskompetencer duer ikke

19. december 2019 kl. 12:2510
CFCS: Bestyrelser uden it-sikkerhedskompetencer duer ikke
Illustration: Kasia Bialasiewicz/Bigstock.
Mange bestyrelser mangler tilstrækkelig viden og kompetencer til at kunne adressere virksomhedens risici på cyberområdet, lyder det fra Center for Cybersikkerhed.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Mindst ét medlem af bestyrelsen i danske virksomheder bør have viden om eller erfaring med cyber- og informationssikkerhed og have indsigt i virksomhedens tekniske og sikkerhedsmæssige fundament.

Det fremgår af en ny vejledning (opdateret ultimo 2020, red.) til bestyrelser om cybersikkerhed, som Bestyrelsesforeningen har udarbejdet i samarbejde med blandt andre Center for Cybersikkerhed (CFCS).

Mange bestyrelser mangler tilstrækkelig viden og kompetencer til at kunne adressere virksomhedens risici på cyberområdet, lyder det fra CFCS.

»Truslen mod danske virksomheder fra cyberkriminalitet og cyberspionage er meget høj, og det er ikke kun de store virksomheder, der bliver ramt. Bestyrelsen har ansvaret for at vurdere virksomhedens risici og beslutte på hvilket niveau, virksomheden skal beskytte sig mod cybertrusler. Der er generelt brug for, at virksomhederne prioriterer cybersikkerhed højere og i den forbindelse skal ledelsen gå forrest. Alle bestyrelser bør læse denne vejledning, som kan hjælpe dem i gang med arbejdet. Og de bør om muligt også deltage i de uddannelsesmuligheder, der bliver tilbudt,« udtaler chef for Center for Cybersikkerhed, Thomas Lund-Sørensen, ifølge en meddelelse.

Bestyrelsen skal sætte barren

Også Version2's søstermedie Tech Management har haft fokus på bestyrelsens ansvar i forhold til cybersikkerhed.

Artiklen fortsætter efter annoncen

»Det er bestyrelsen, der skal sætte barren for, hvor svært det skal være for hackere at komme ind og afsætte omkostningerne til det. It-chefen har et budget til det hele, og når bestyrelsen presser for bundlinje i virksomheden, risikerer det at gå ud over sikkerhedsniveauet, hvis ikke det er et separat it-sikkerhedsbudget. Den lokale prioritering i it-afdelingen kunne pludselig udgøre en større risiko end ønsket,« skrev Tina Moe, direktør fra Leadership of the Future, i et indlæg på mediet i november.

Af den nye vejledning fra Bestyrelsesforeningen og CFCS fremgår det også, at bestyrelsen mindst to gange om året bør modtage og forholde sig til en opdateret risikovurdering på cyberområdet baseret på virksomhedens vigtigste værdier, teknologilandskab, primære sårbarheder, sandsynlige trusler, mulige tab ved angreb og anbefaling til (yderligere) investering.

Vejledningens anbefalinger er udarbejdet som led i projektet 'Styrkelse af strategiske cyberkompetencer i danske virksomheder', der har til formål at øge opmærksomheden over for cyberrisici og at styrke kompetencerne inden for cybersikkerhed i danske bestyrelser og direktioner, herunder bestyrelser og direktioner i små og mellemstore virksomheder.

Projektet er støttet af Industriens Fond og er en del af Industriens Fonds indsats inden for cybersikkerhed.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
30. december 2019 kl. 10:46

[https://dmarcian.com/domain-checker/?domain=fe-ddis.dk] fe-ddis.d er hosted hos Itadel A/S i Juelsminde.

8
30. december 2019 kl. 08:45

[https://www.cookiemetrix.com/display-report/fe-ddis.dk/c3f0664c6448aacccd864ff2e1182c50]

6
20. december 2019 kl. 10:29

Undskyld, men har du overhovedet læst rapporten?

Bortset fra en enkelt illustration på side 5 (hvor der tydeligt står "eksempler"), så er der intet i rapporten der handler om specifikke angrebstyper. Det er strategi, temaer ("forebygge, beskytte, opdage, håndtere, genoprette"), risikovurdering, beredskabsplanlægning og en hel masse overvejelser som bestyrelsen skal gøre sig. Der står intet om teknik eller specifikke angrebstyper.

Kig på kapitel 5 og 6, og se om ikke din bestyrelse kunne have gavn af dem.

5
20. december 2019 kl. 10:20

Helt enig.

Vi sikkerhedsfolk piver ofte over at det er svært at få ressourcer til IT-sikkerhed, fordi det primært ses som besværligt og dyrt. En væsentlig forklaring på det er, at der er en kommunikationsbrist mellem IT og bestyrelserne - vi taler ikke samme sprog.

Rapporten her er skrevet til bestyrelsen, i bestyrelsessprog. Den gør det tydeligt at ansvaret for sikkerhed ligger hos bestyrelsen, det kan ikke tørres af på IT-afdelingen. Og den klæder bestyrelsen på til at stille nogle af de rigtige spørgsmål til direktionen og til IT.

Jeg ser rapporten som en lille julegave til mig.

4
19. december 2019 kl. 20:20

Der er rigtig mange "stenalderbestyrelser" i Danmark, hvor det nærmeste man kommer IT-forstand er at CFO'en er "ret god til regneark".

Jeg vil for en gangs skyld erklære mig enig med CFCS: Det er simpelthen ikke godt nok længere.

Ikke at den slags bestyrelser kunne finde på at lytte til hverken CFCS eller mig på dette punkt...

3
19. december 2019 kl. 17:17

Hvorfor bliver APT-angreb ikke nævnt? Alle de nævnte områder er indgangssårbarheder. Defense in depth glimrer ved sit fravær.

APT-angreb er de værste og benytter en pallette af de nævnte indgangssårbarheder men også metoder til at holde sig under radaren efter den første infektion ved hjælp af f.eks. ICMP-tunneling, DNS-tunneling mellem noder og C2-servere mm.

Mitigeringsværktøjer kunne være SIEM, threat hunting.

Men rapporten skal nok blive læst af ledelser - som i forbindelse med Sundhedsdatastyrelsens sats på IT-sikkerhed - to ud af tolv stilinger krævede teknisk viden mens de ti resterende handlede om rapportskrivning

2
19. december 2019 kl. 12:50

... hvis vi ser på cfcUs selv, så går det da meget godt med at dræne samfundet for penge til høje lønninger, uden den fjerneste it-sikkerhedskompetance hos ledelsen.

1
19. december 2019 kl. 12:33

Ud over at råbe "ulven kommer" - og kræve mere statsstøtte - hvad hører vi så fra CFCS?