Hvis man følger cyber-debatten i medierne kan man godt få det indtryk, at digitalisering er farligt. Der er ikke noget, der kan trække en overskrift som et sikkerhedsbrud, et tab af data eller et systemnedbrud, særligt hvis det sker for en virksomhed, som vi alle kender.
Det er også farligt at køre bil, men i trafikken har vi nok et mere afklaret forhold til risiko. Vi ved, at man skal have kørekort, der er færdselslovgivning, som stiller krav og regler til sikkerhed og kørsel. Vi ved, at man kan beskytte sig imod risici for at køre forkert eller i grøften. Vi ved dog også, at vi ikke kan forudse alt, bl.a. hvordan de andre bilister bevæger sig i trafikken.
På samme måde er det i en integreret digital verden vigtigt, at man tænker sig om, tager bevidste risici og investerer i sikkerhed, som en integreret del af en digitaliseringsrejse. Ellers er det kun et spørgsmål om tid, før andre har adgang til dine data og systemer.
Hvad bør vi gøre?
Mange virksomheder og organisationer har forstået, at de er under angreb hele tiden og bør fokusere på sikre, at de kan identificere et angreb, der kommer igennem de ydre værn, hurtigt og reagere på passende måde.
Der er andre, der endnu har en mindre moden tilgang, og vi kommer til at se mange virksomheder, der vil blive ramt af det ene eller det andet og som konsekvens vil være uden it i kortere eller længere tid eller helt miste deres evne til at operere.
Reelt set lever vi i en eksponentiel udviklende digital verden, hvor forbryderne bliver dygtigere og dygtige til at udnytte svagheder i vores systemer, vores processer og vores interaktion uden at vi indretter vores adfærd og systemer efter det.
I en digital verden bør Cyber tænkes fuldstændig integreret ind i de fleste nøglerisici en virksomhed navigerer i forhold til.
Bestyrelsens rolle
Digitalisering og cyber er i høj grad emner de fleste bestyrelser er optaget af, desværre oplever jeg, at de færreste virksomheder er i stand til at præsentere et klart beslutningsoplæg, som bestyrelsen kan debattere. Ofte er det enten en kortfattet orientering i pixiebog-format eller også er det alt for teknisk uden en klar kobling til virksomhedens nøglerisici og strategiske agenda.
Vi har derfor som medarbejdere eller konsulenter et ansvar for at blive bedre til at skrive og tale kort, klart og tydeligt om digitale temaer (herunder ikke mindst cyber) og gøre det løbende i takt med, at verdenen forandres.
Jeg oplever, at hvis man som virksomhed vælger at tilgå cyber agendaen offensivt, har man mulighed for at komme tilbage i førersædet og aktivt tilvælge og fravælge det beredskab, man ønsker at have, fremfor passivt at håbe på, at perimetersikkerheden beskytter imod de farer, der truer virksomheden.
For at kunne tænke offensivt må man forstå egne styrker og svagheder, fjendens styrker og svagheder og terrænet. Alt dette kan man afdække ved en risikovurdering og en modenhedsanalyse samt en klar afklaring af den strategiske og operationelle ambition. Uden dette bliver det spredt fægtning, som ikke vil kunne beskytte imod et reelt angreb.
Kommentér dette blogindlæg herunder