Mindst ét medlem af bestyrelsen i danske virksomheder bør have viden om eller erfaring med cyber- og informationssikkerhed og have indsigt i virksomhedens tekniske og sikkerhedsmæssige fundament.
Det fremgår af en ny vejledning (opdateret ultimo 2020, red.) til bestyrelser om cybersikkerhed, som Bestyrelsesforeningen har udarbejdet i samarbejde med blandt andre Center for Cybersikkerhed (CFCS).
Mange bestyrelser mangler tilstrækkelig viden og kompetencer til at kunne adressere virksomhedens risici på cyberområdet, lyder det fra CFCS.
»Truslen mod danske virksomheder fra cyberkriminalitet og cyberspionage er meget høj, og det er ikke kun de store virksomheder, der bliver ramt. Bestyrelsen har ansvaret for at vurdere virksomhedens risici og beslutte på hvilket niveau, virksomheden skal beskytte sig mod cybertrusler. Der er generelt brug for, at virksomhederne prioriterer cybersikkerhed højere og i den forbindelse skal ledelsen gå forrest. Alle bestyrelser bør læse denne vejledning, som kan hjælpe dem i gang med arbejdet. Og de bør om muligt også deltage i de uddannelsesmuligheder, der bliver tilbudt,« udtaler chef for Center for Cybersikkerhed, Thomas Lund-Sørensen, ifølge en meddelelse.
Bestyrelsen skal sætte barren
Også Version2's søstermedie Tech Management har haft fokus på bestyrelsens ansvar i forhold til cybersikkerhed.
»Det er bestyrelsen, der skal sætte barren for, hvor svært det skal være for hackere at komme ind og afsætte omkostningerne til det. It-chefen har et budget til det hele, og når bestyrelsen presser for bundlinje i virksomheden, risikerer det at gå ud over sikkerhedsniveauet, hvis ikke det er et separat it-sikkerhedsbudget. Den lokale prioritering i it-afdelingen kunne pludselig udgøre en større risiko end ønsket,« skrev Tina Moe, direktør fra Leadership of the Future, i et indlæg på mediet i november.
Af den nye vejledning fra Bestyrelsesforeningen og CFCS fremgår det også, at bestyrelsen mindst to gange om året bør modtage og forholde sig til en opdateret risikovurdering på cyberområdet baseret på virksomhedens vigtigste værdier, teknologilandskab, primære sårbarheder, sandsynlige trusler, mulige tab ved angreb og anbefaling til (yderligere) investering.
Vejledningens anbefalinger er udarbejdet som led i projektet 'Styrkelse af strategiske cyberkompetencer i danske virksomheder', der har til formål at øge opmærksomheden over for cyberrisici og at styrke kompetencerne inden for cybersikkerhed i danske bestyrelser og direktioner, herunder bestyrelser og direktioner i små og mellemstore virksomheder.
Projektet er støttet af Industriens Fond og er en del af Industriens Fonds indsats inden for cybersikkerhed.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
