tilt | Aktuelt | Aksjekursen svir for lav kompetanse på datasikkerhet i ledelsen

Aksjekursen svir for lav kompetanse på datasikkerhet i ledelsen

mandag 22. oktober 2018 @ 10:19

«Toppledere slumser med sikkerheten og setter verdier på spill», sa styreleder i Dataforeningens faggruppe for informasjonssikkerhet, Renate Thoreid, til Dagens Næringsliv i september.
Av Paal LeveraasFoto: Pixabay CC0

Cybersikkerhet er blitt en del av investorenes kriterier når de skal handle aksjer. Det gjør at temaet i enda større grad enn før kommer på styrets agenda.

«Toppledere slumser med sikkerheten og setter verdier på spill», sa styreleder i Dataforeningens faggruppe for informasjonssikkerhet, Renate Thoreid, til Dagens Næringsliv i september.

Les artikkelen: – Skremmende når så mange slumser med sikkerheten (krever innlogging)

«Vår erfaring er at det er vanskelig å nå gjennom hos toppledelsen og at de ofte dytter ikt-folkene foran seg. Det resulterer i at både kompetansen og oppmerksomheten rundt sikkerhet er for lav på øverste ledernivå», sa Thoreid, som til daglig jobber som Business Security Officer Telenor.

Det er ikke et et særnorsk fenomen, men en bekymring som i høyeste grad gjør seg gjeldende internasjonalt også.

Til de grader at aksjonærene i noen tilfeller velger bort virksomheter som åpenbart ikke tar risikiene på alvor.

I en artikkel i Financial Times nylig fremgår det at store porteføljeforvaltere er stadig mer opptatt av styrets og toppledelsens fokus på teknologiske sikkerhetsbrudd.

— Cybersecurity vokser fram som en viktig risikofaktor, sa Rupert Krefting, finansdirektør i MBG Prudential, til Financial Times.

MBG forvalter en portefølje på 3.700 milliarder kroner. Han legger til at det er vanskelig å vurdere om ledelsen og styret virkelig forstår riskene. De er i liten grad villige til å snakke om det.

Men det er ikke godt nok lenger. Stadig flere investorer forventer og krever nå at ledelsen er oppdatert og har kompetanse på sårbarhet som følge av teknologi.

«Det vi er redde for er at [styret] peker ut en teknologiekspert og overlater det til ham eller henne»

Renate Thoreid

— IT-kompetanse i styret kan ha stor betydning og bidra til å utfordre IT-direktøren på hva som gjøres på innsiden, sa Leon Kamhi ved Hermes Investment Management. — Styret må være på ballen.

En talsperson for en tredje investor sier til avisen at styret må ha teknologisk innsikt, uten å være et teknologistyre. — Det vi er redde for er at de peker ut en teknologiekspert og overlater det til ham eller henne.

Innføringen av nye lover, som GDPR som kom tidligere i år, og den nye nasjonale sikkerhetsloven, som trer i kraft fra 1. januar, aktualiserer behovet for kompetanse på cybersikkerhet på styrenivå ytterligere.

En undersøkelse fra 2017, utført av Ponemon Institute, viste en kostnadsøkning på 23 prosent knyttet til cybersecurity på et år. Antallet rapporterte sikkerhetsbrudd i virksomhetene vokste med nesten 30 prosent i samme periode.

En oppfølging av studien satte en prislapp på dette: den gjennomsnittlige kostnaden ved hvert sikkerhetsbrudd er 32 millioner kroner. I ytterkantene av dette snittet ligger også ekstremhendelser med kostnader som kan komme opp i flere milliarder kroner.

Denne nye virkeligheten har investorene tatt inn over seg, men de samme investorene er altså ikke overbevist om at virksomhetene selv forstår hva det betyr.

En stor investor siteres i FT-artikkelen på at «vi vil at alle styremedlemmer skal være i stand til å snakke om dette temaet. De må vite hvor de er sårbare, hvilken påvirkning det vil ha og ha en plan for hvordan styret skal respondere», sier han.

Hvordan styret og ledelsen bør forholde seg til datasikkerhet er tema for minikonferansen «Cybersikkerhet på styrerommet», som er spisset mot nettopp toppledere i norske virksomheter. Da Dataforeningen arrangerte et tilsvarende kurs i fjor var interessen stor nok til å trekke 70 deltagere.

Det er lederne selv som deler sine erfaringer på denne konferansen, i følge Thoreid.

«Når lederne er ærlige om kostnader ved å feile, bidrar det til mer oppmerksomhet og det gjør tilhørerne mer modne til å sette cybersikkerhet på agendaen på egne ledermøter», sa hun til Dagens Næringsliv.

Det kan være gode grunner til at styret og ledelsen tier om cybersikkerhet. I en kommentarartikkel i E24 skriver Jørn Bremtun, som er partner i Nord & Bremtun Cybersecurity Communication, at datakriminalitet kan skape dilemmaer for børstnoterte selskap. På den ene siden kan kunnskap om at et dataangrep er på gang utløse informasjonsplikt etter verdipapirloven. På den annen side er det ikke sikkert at virksomheten er tjent med at det offentliggjøres. «Offentliggjøring kan eskalere situasjonen, og gjøre det vanskelig for IKT- og sikkerhetsekspertise å løse utfordringen», skriver Bremtun,

Anses risikoen for å være stor er det likevel ikke tvil om at virksomheten og dens ledelse er i besittelse av innsideinformasjon, og handel i egne verdipapirer er dermed ulovlig.

Les: Stopp aksjehandelen – selskapet er under cyberangrep (E24)

Les mer om minikonferansen Cybersikkerhet på styrerommet 


Artikkelen er opprinnelig publisert på Den norske dataforening sine nettsider.

Se også

Våre ukebrev

Her kan du melde deg på et eller flere av våre ukebrev. Du kan melde deg av eller endre hva du mottar via lenker i epostene.

"*" obligatorisk felt

Navn*

Litt klokere

Ukentlige nettmøter hvor vi gjør hverandre litt klokere. Du må være logget inn som medlem for å melde deg på.

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Erna Solberg på talerstolen, krisestrategi

Politisk ansvar: Refleksjoner over Høyres krisestrategi

|
Høyres krisestrategi har vært å plassere all skyld på Sindre Finnes. Dette reflekterer en dyp kynisme og kan ved første øyekast virke som en strategisk nødvendighet.
sosiale medier som debattarena

Slik kan vi styrke sosiale medier som debattarena

|
Den digitale tidsalderens overfladiskhet: Fra akademisk dybde til sosiale mediers overfladiskhet
Tre bærekraftige råd til unge ledere

Tre bærekraftige råd til unge ledere

|
2x5 megatrender og 3 råd til unge ledere som vil frem i fremtidens arbeidsliv. Og harde fakta krever myke tilpasninger.
kundeopplevelse

4 steg for å reparere en dårlig kundeopplevelse

|
Hvordan et fjell av pepper kan snu en kundeopplevelse.
frykten for det ukjente

Mangfold og frykten for det ukjente

|
Refleksjoner over interkulturell forståelse i et mangfoldig samfunn: Lærdom fra profesjonsdagen ved VID.
Hva trenger næringslivet av politikerne for å bli en bedre utgave av seg selv?

Hva trenger næringslivet av politikerne for å bli en bedre utgave av seg selv?

|
Fra et bærekraftvennlig næringslivs ståsted: Hvem bør vi gi stemmeseddelen til?
utradisjonelle valg: Jeg har valgt en annen, mindre farbar sti

Utradisjonelle valg: Fra toppleder til teologi-studier

|
I et samfunn der konformitet ofte er normen, har jeg valgt en annen sti. Min karrierevei og utdanningsvalg har vært preget av både uortodokse beslutninger og en konstant tørst etter kunnskap.
coaching kan gi deg verktøyene for å se trinnene du må ta, men kan ikke tvinge deg til å gå dem.

Det er ikke deg som coach det handler om!

|
Coachen tilbyr ei verktøykasse på reisen for den det gjelder, men velger den reisende å la verktøyene ligge ubrukt, er det helt ok.
- Det er tragisk å tro at uten oljen hadde Norge vært et fattig land

– Det er tragisk å tro at uten oljen hadde Norge vært et fattig land

|
– Vi har bygget opp et narrativ i Norge om at all rikdommen vår skyldes olje. At hadde vi ikke hatt oljen, ville vi vært lutfattige. Det er så tragisk at denne fortellingen har fått lov å sette seg.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.