Datasäkerhet för styrelser – detta bör man tänka på

Datasäkerhet för styrelser – idag borde det vara lika givet på agendan som redovisning, personalfrågor och affärsutveckling. Tyvärr ser verklighet inte ut så. Här är vad varje styrelse borde tänka på om datasäkerhet.

Hanteringen av cyberrisker har under flera år varit ett problem för IT-avdelningar. Ideligen kommer rapporter om intrång i, och stölder från, olika molntjänster. Hur mycket som inte rapporteras vågar vi inte ens tänka på.  

Nuförtiden är problemet så stort att det inte bara är ett problem för IT-avdelningarna. Det är även är ett problem på styrelsenivå. Eller borde i alla fall vara. Och då syftar vi inte bara som agendapunkt på styrelsemötet. Utan även som ett hot mot den strategiska informationen som styrelser hanterar.

Dataintrång och ransomware-attacker ökar och har ofta en enorm inverkan på ett företags ekonomi, marknadsvärde och anseende. Denna typ av attacker kostar företag världen över flera hundra miljarder dollar per år. Så sent som i juli lamslogs Garmins hela affärsverksamhet över hela världen ut i flera dagar. Av den anledningen är det numera allmänt accepterat att styrelser måste ta ansvar för sina företags datasäkerhet. Förbi är dagarna att överlåta datasäkerheten enbart till IT-avdelningen.

Datasäkerhet för styrelser – vänta inte tills skadan har skett

Datasäkerheten får inte bli en styrelsefråga för första gången efter att ett intrång har inträffat, utan är något som behöver prioriteras och diskuteras i ett mycket tidigare skede än så. 

Det är två perspektiv på detta. 

1. Datasäkerheten som handlar om kundernas och affärsverksamhetens data. Det är självklart att den måste skyddas på bästa sätt.
2. Den strategiska informationen som en styrelse hanterar måste skyddas på ett effektivt sätt. Samtidigt som det måste vara enkelt för styrelsen att tillsammans jobba och dela informationen med varandra på ett säkert sätt. 

Vad ska styrelser tänka på och hur bör de agera?

5 viktiga saker för styrelser att tänka på gällande företagets datasäkerhet

Det finns en viktig juridisk betydelse för styrelsens deltagande i diskussioner som rör företagets datasäkerhet. Här är fem viktiga punkter att ha med sig:

1. Datasäkerheten bör ses som ett företagsomfattande riskhanteringsproblem och inte bara en IT-fråga. Dataintrång kan orsaka personlig ansvar för styrelseledamöter. Därför är det viktigt att förstå de juridiska konsekvenserna av cyberrisker i samband med deras företags specifika omständigheter. 
2. Det flesta kända molnlagringstjänsterna är inte säkra. Det finns betydligt säkrare lösningar idag för företag och organisationer som är säkerhetsmedvetna.
3. Styrelserna bör ha adekvat tillgång till datasäkerhetsexpertis. Diskussioner om cyberriskhantering bör få såväl regelbunden som tillräcklig tid på styrelsens mötesagenda. 
4. Styrelseledamöterna bör förvänta sig att ledningen skapar en strategi och ett ramverk för hela företaget med tillräcklig personal och budget.
5. Styrelsens ledningsdiskussioner om cyberrisk bör innehålla identifiering av vilka risker som ska undvikas, accepteras eller överföras genom försäkring. Tyvärr är det nästan omöjligt för styrelser att helt undvika cyberrisker, därför är det bäst att identifiera företagets prioriteringar och tydliggöra dem.

Det finns säkra lösningar

Datasäkerhet för styrelser är ett viktigt ämne för företag. Det krävs kunskap och förståelse för att fatta bra beslut. Med tanke på den potentiellt förödande blandningen av förluster och skulder som kan utlösas av ett dataintrång är det inte värt att anta att en enda ansvars- eller cyberpolicy ger fullständigt skydd. Det måste vara ett kontinuerligt arbete.

Alla företag, små som stora, riskerar att utsättas för en cyberattack. Därför ska datasäkerheten tas på allvar i ett tidigt skede och därefter diskuteras kontinuerligt inom styrelsen och utvecklas. Där är en första insats att snabbt säkra det befintliga arbetsflödet genom att integrera säker molnlagring och ransomware-skydd.