Digitalisering og ledelse, Fagartikler, Digital transformasjon og strategi, Informasjonssikkerhet, personvern og beredskap

Hovedoppgaven til et styre er å sikre forsvarlig organisering og drift. Selskapets drift og verdier skal forvaltes med hensyn til eiernes interesser. Men er det tilstrekkelig? Informasjon er også en svært viktig verdi for virksomheten. 

Det handler ikke lenger om “hvis du blir angrepet” men “når” du blir angrepet! Da gjelder det å ha tenkt igjennom alle scenarioer og sårbarheter, og sørge for at angrepet påvirker virksomheten så lite som mulig. 

Et dataangrep kan fort bli kostbart. Mange bedrifter har mistet store verdier i form av tapt fortjeneste, høye etableringskostnader, personvernbøter, tap av kunder og svekket omdømme. Hvilke tiltak kan din virksomhet gjøre for å sikre seg mot store tap?

Ofte tenker vi at ansvaret for at informasjonssikkerheten er ivaretatt utelukkende ligger hos IT- avdelingen eller en underleverandører, men til syvende og sist er det styrets ansvar.

Digital kompetanse i styrerommet er mangelvare 

Samfunnet er i konstant endring, og mange virksomheter tar i bruk ny teknologi og digitaliserer prosessene sine. Endringer skjer hurtig og virksomheters IKT-portefølje består av nye og gamle systemer som er basert på ulik teknologi og som må fungere sammen. De fleste tar i bruk skytjenester og kjøper tjenester av ulike leverandører. Dette skjer samtidig som virksomhetene underlegges lovregulering som stiller krav til informasjonssikkerhet og personvern.

Med den økende bruk av digitale tjenester er det viktig at norske styrerom besitter riktig og oppdatert digital kompetanse. Her ser vi ofte at det er store kunnskapshull. Flere undersøkelser viser det samme.

Om lag 80 % av norske virksomheter mangler digital kompetanse i styret. Dette gir grunn til bekymring. Da det til syvende og sist er styret som har ansvaret for informasjonssikkerheten overfor eierne.

Habberstad tør våge den påstanden at horisonten i dagens styrerom må utvides. Vi lever i en verden preget av usikkerhet, og med økende trussel mot våre verdier. Å sikre at minst én i styret sitter med kompetanse innen IT-sikkerhet bær være et minimum. 

Mangel på kompetanse gir dårligere inntjening 

Styrets manglende digitale kompetanse gir dårligere inntjening. Styreforeningen viser til en undersøkelse hvor selskaper med digital styrekompetanse i snitt er 26 % mer lønnsomme enn de andre. I tillegg påføres eierne en betydelig digital sikkerhetsrisiko.

Brudd på datasikkerhet kan påføre virksomheten betydelige tap, og det finnes i dag ingen etablert metodikk for hvordan selskaper skal rapportere på digital sikkerhetsrisiko. De fleste gjør det ikke, og det er liten forståelse i styret for problemstillingen. Styret begår en unnlatelsessynd når de slår seg til ro med at virksomhetens IT-avdeling «sikkert har kontroll på sikkerheten».

Resultatet av manglende forståelse for problemstillingen og manglende rapportering er at eierne ikke har oversikt over hvilken risiko de løper. 

1 av 5 bedrifter har opplevd brudd på datasikkerheten i 2021, ifølge en undersøkelse fra NHO. Alt tilsier at andelen vil gå opp.  Les mer om risikobildet i den digitale verden og hvordan cyberhendelser i økende grad får forretningsmessige konsekvenser.

Hva bør gjøres?

Styret må opparbeide digital kompetanse. Et første skritt på veien er at styret får grep om hvilken digital sikkerhetsrisiko virksomheten har. Denne risikoforståelsen må styret og ledelse omsette i prioriteringer og rammer for arbeidet med digital sikkerhet.

God informasjonssikkerhet er en forutsetning for vellykket digitalisering. Effektiv drift krever modernisering og digitalisering. God forvaltning av verdier, utvikling og maksimering av overskudd fordrer at styret tar sikkerhetsutfordringene med digitalisering på alvor.