CFCS: Bestyrelser uden it-sikkerhedskompetencer duer ikke

Mange bestyrelser mangler tilstrækkelig viden og kompetencer til at kunne adressere virksomhedens risici på cyberområdet, lyder det fra Center for Cybersikkerhed.

Mindst ét medlem af bestyrelsen i danske virksomheder bør have viden om eller erfaring med cyber- og informationssikkerhed og have indsigt i virksomhedens tekniske og sikkerhedsmæssige fundament.

Det fremgår af en ny vejledning (PDF) til bestyrelser om cybersikkerhed, som Bestyrelsesforeningen har udarbejdet i samarbejde med blandt andre Center for Cybersikkerhed (CFCS).

Mange bestyrelser mangler tilstrækkelig viden og kompetencer til at kunne adressere virksomhedens risici på cyberområdet, lyder det fra CFCS.

»Truslen mod danske virksomheder fra cyberkriminalitet og cyberspionage er meget høj, og det er ikke kun de store virksomheder, der bliver ramt. Bestyrelsen har ansvaret for at vurdere virksomhedens risici og beslutte på hvilket niveau, virksomheden skal beskytte sig mod cybertrusler. Der er generelt brug for, at virksomhederne prioriterer cybersikkerhed højere og i den forbindelse skal ledelsen gå forrest. Alle bestyrelser bør læse denne vejledning, som kan hjælpe dem i gang med arbejdet. Og de bør om muligt også deltage i de uddannelsesmuligheder, der bliver tilbudt,« udtaler chef for Center for Cybersikkerhed, Thomas Lund-Sørensen, ifølge en meddelelse.

Bestyrelsen skal sætte barren

Også Version2's søstermedie Tech Management har haft fokus på bestyrelsens ansvar i forhold til cybersikkerhed.

»Det er bestyrelsen, der skal sætte barren for, hvor svært det skal være for hackere at komme ind og afsætte omkostningerne til det. It-chefen har et budget til det hele, og når bestyrelsen presser for bundlinje i virksomheden, risikerer det at gå ud over sikkerhedsniveauet, hvis ikke det er et separat it-sikkerhedsbudget. Den lokale prioritering i it-afdelingen kunne pludselig udgøre en større risiko end ønsket,« skrev Tina Moe, direktør fra Leadership of the Future, i et indlæg på mediet i november.

Af den nye vejledning fra Bestyrelsesforeningen og CFCS fremgår det også, at bestyrelsen mindst to gange om året bør modtage og forholde sig til en opdateret risikovurdering på cyberområdet baseret på virksomhedens vigtigste værdier, teknologilandskab, primære sårbarheder, sandsynlige trusler, mulige tab ved angreb og anbefaling til (yderligere) investering.

Vejledningens anbefalinger er udarbejdet som led i projektet 'Styrkelse af strategiske cyberkompetencer i danske virksomheder', der har til formål at øge opmærksomheden over for cyberrisici og at styrke kompetencerne inden for cybersikkerhed i danske bestyrelser og direktioner, herunder bestyrelser og direktioner i små og mellemstore virksomheder.

Projektet er støttet af Industriens Fond og er en del af Industriens Fonds indsats inden for cybersikkerhed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Bluhme

Hvorfor bliver APT-angreb ikke nævnt? Alle de nævnte områder er indgangssårbarheder. Defense in depth glimrer ved sit fravær.

APT-angreb er de værste og benytter en pallette af de nævnte indgangssårbarheder men også metoder til at holde sig under radaren efter den første infektion ved hjælp af f.eks. ICMP-tunneling, DNS-tunneling mellem noder og C2-servere mm.

Mitigeringsværktøjer kunne være SIEM, threat hunting.

Men rapporten skal nok blive læst af ledelser - som i forbindelse med Sundhedsdatastyrelsens sats på IT-sikkerhed - to ud af tolv stilinger krævede teknisk viden mens de ti resterende handlede om rapportskrivning

  • 0
  • 0
Poul-Henning Kamp Blogger

Der er rigtig mange "stenalderbestyrelser" i Danmark, hvor det nærmeste man kommer IT-forstand er at CFO'en er "ret god til regneark".

Jeg vil for en gangs skyld erklære mig enig med CFCS: Det er simpelthen ikke godt nok længere.

Ikke at den slags bestyrelser kunne finde på at lytte til hverken CFCS eller mig på dette punkt...

  • 5
  • 0
Henrik Størner

Helt enig.

Vi sikkerhedsfolk piver ofte over at det er svært at få ressourcer til IT-sikkerhed, fordi det primært ses som besværligt og dyrt. En væsentlig forklaring på det er, at der er en kommunikationsbrist mellem IT og bestyrelserne - vi taler ikke samme sprog.

Rapporten her er skrevet til bestyrelsen, i bestyrelsessprog. Den gør det tydeligt at ansvaret for sikkerhed ligger hos bestyrelsen, det kan ikke tørres af på IT-afdelingen. Og den klæder bestyrelsen på til at stille nogle af de rigtige spørgsmål til direktionen og til IT.

Jeg ser rapporten som en lille julegave til mig.

  • 5
  • 0
Henrik Størner

Undskyld, men har du overhovedet læst rapporten?

Bortset fra en enkelt illustration på side 5 (hvor der tydeligt står "eksempler"), så er der intet i rapporten der handler om specifikke angrebstyper. Det er strategi, temaer ("forebygge, beskytte, opdage, håndtere, genoprette"), risikovurdering, beredskabsplanlægning og en hel masse overvejelser som bestyrelsen skal gøre sig. Der står intet om teknik eller specifikke angrebstyper.

Kig på kapitel 5 og 6, og se om ikke din bestyrelse kunne have gavn af dem.

  • 2
  • 0
Log ind eller Opret konto for at kommentere