For få virksomhedsledere har taget stilling til, hvor stor en usikkerhed de er villige til at løbe, og hvilken effekt deres it-sikkerhedsinitiativer har, vurderer partner Jesper Helbrandt. Det er uhensigtsmæssigt, for cybertruslerne bliver både flere og mere sofistikerede.

 ”Hvor stor en usikkerhed ønsker du at løbe?” Det spørgsmål kan få de fleste virksomhedsledere til at stoppe op. For selvom de færreste ønsker at blotte deres virksomhed med åbne øjne, er det den virkelighed, virksomhedslederne må forholde sig til, mener partner i Risk Advisory i Deloitte og ekspert i cybersikkerhed, Jesper Helbrandt:

”I nutidens trusselslandskab er det ikke muligt at være 100 procent sikker. Derfor er der behov for en kvalificeret afvejning af, hvor i virksomheden man vil acceptere en usikkerhed.”

Det må virksomhedsledelsen tage stilling til, understreger han. Og arbejdet begynder med en prioritering af, hvilke dele af virksomheden cybersikkerheden skal koncentreres om, og hvor man er villig til at løbe en større risiko.

”Hvor stor en usikkerhed vil ledelsen eksempelvis løbe i forhold til webshoppen, mail- eller bookingsystemet?” spørger Jesper Helbrandt og pointerer, at det naturligvis varierer fra virksomhed til virksomhed, hvilke områder der er vigtigst.

Du skal vide – ikke tro
Jesper Helbrandt oplever, at langt fra alle virksomheder har taget stilling til, hvor stor en usikkerhed de er villige til at løbe, og hvor sårbare de reelt er.

”Vi laver dagligt tests og undersøgelser, der viser, hvor sårbar en given virksomhed er. Resultatet overrasker altid ledelsen,” siger han og pointerer, at det dog fortsat ikke er alle, der efterfølgende gør noget for at ændre situationen.

Det samme billede gør sig gældende, når han taler med ledere, hvis virksomhed er blevet ramt af et cyberangreb. Uanset om der er tale om store, mindre eller mellemstore virksomheder havde de alle en god vurdering af deres sikkerhedsniveau forud for hændelsen.

”Alle virksomheder, der er blevet ramt, havde ellers en god mavefornemmelse, når det kom til deres egen sikkerhed. Og den fornemmelse kan være dyr at have,” siger han.

For trusselsbilledet i dag er præget af, at hackerne er blevet dygtigere og mere raffineret. Det kan være lukrativt at hacke, og derfor er der kommet flere og flere til. Det må virksomhedslederne forholde sig til.

”Hackingværktøjer er så brugervenlige, at personer uden nævneværdige it-kompetencer kan iværksætte hackerangreb. Det eneste, en kriminel person i princippet skal gøre, er at betale, trykke på nogle knapper og vælge et mål, så kører det af sig selv.”

Analysér din indsats
Jesper Helbrandt opfordrer virksomhedslederne til at tilgå deres cybersikkerhed som de ville tilgå alle andre forretningsinitiativer:

”De skal starte med at spørge sig selv: Hvor mange penge bruger vi? Hvilket outcome opnår vi? Og hvad bliver der efterspurgt?”.

Den tilgang har dog ikke slået igennem i virksomhedstoppen, vurderer han.

”Ingen er nogensinde blevet bedt om at lave cost-benefit-analyse af en ny firewall, og det er et problem.”

Kender man ikke tallene og effekten, er det svært at tage stilling til, om man bruger meget eller lidt, og om man bør gøre mere eller mindre.

”Hvis cybersikkerhed skal løftes op til et strategisk niveau, må ledelsen kunne svare på de spørgsmål. Ellers famler de i blinde,” siger Jesper Helbrandt.

Og noget kunne tyde på, at de fleste i så fald famler. I forbindelse med Deloittes Grab’n Go-sessioner om cybersikkerhed og til The Future of Cybersecurity 2018 spurgte Jesper Helbrandt fra talerstolen, hvor mange af de fremmødte, som kunne svare på, hvor mange penge de brugte på cyber risks.

”Under ti procent kunne svare. Men hvordan er det muligt at tage en strategisk diskussion med en ledelse, hvis man ikke kan dokumentere cost-benefit af cyberindsatsen?,” siger han og fortsætter:

”Hele forudsætningen for at bruge pengene er jo, at man ved, hvad der er vigtigst at beskytte, hvor man vil løbe en usikkerhed, og hvor man får mest smæk for skillingen. Og det er altså ledelsens opgave at vurdere, hvad virksomheden kan tåle, og målrette indsatsen herefter.”