Innlegget er tidligere publisert i Finansavisen.

Hva menes med overskriften? Skal ikke IT-sjefen ta seg av digital sikkerhet? Svaret er selvfølgelig ja, hun eller han må ta seg av dette og mye annet. Men – i enhver virksomhet er det slik at ledere opererer innenfor de rammer, mandater og holdninger som defineres av styre og eiere. Ofte er det målsetninger om vekst, økonomisk resultat og kanskje aksjekurs som er drivere. I hvilken grad virksomhetens verdier, som ofte er nært knyttet opp til IKT-systemene, digitalt sett er forsvarlig sikret har ikke alltid øverste prioritet. Det kan være mange grunner til det – digital sikkerhet oppfattes som teknisk komplisert, tungvint og kostnadsdrivende uten bunnlinje-gevinst. IKT-sikkerhet blir fort vanskelig, fullt av teknologibegreper og noe som IT løser. «Vi har jo brannmur og leverandøren tar jo backup…» er en vanlig tankegang.

Problemstillingen er imidlertid at mange virksomheter ikke forstår sine reelle cyber-risikoer. Mangelfull eller manglende risikovurdering og konsekvensanalyse, samt mangelfull oversikt over virksomhetens samlede verdikjede er gjengangere. Ved utstrakt bruk av tjenesteutsetting fjerner man seg dessuten ytterligere fra en god forståelse av sårbarheter i verdikjeden og bygger ned virksomhetens egen evne til å kravstille og følge opp leveranser, «IT skal jo bare fungere».

Som toppleder eller styremedlem bør du kanskje stille spørsmål av typen: «Hva skjer med vår verdikjede om noen av (IKT) systemene feiler?» Hvem har ansvaret for systemene som understøtter våre verdier – og hvordan følger vi opp dette i vår virksomhet?

Noen tankeeksempler: Tåler bedriften at prosesskontrollsystemet er nede i mange timer? Er det greit at kundelisten kommer på avveie? Hva om fordringsmassen vår en dag ikke er tilgjengelig for regnskap? Er vår teknologi, prosessbeskrivelser og kildekode noe vi har lyst til å gi i fra oss? Spiller det noen rolle om nettsiden for kundebestillinger er utilgjengelig noen dager? Hva skjer hvis vi plutselig ikke har oversikt over bemanningsplaner, kundeleveranser og kontraktuelle forpliktelser?

Men fremfor alt bør man spørre seg: Har vi tilstrekkelig ledelsesfokus og god nok organisatorisk bevissthet på digital sikkerhet? Hvordan følges dette opp og hvordan styres våre leverandører?

Et ganske trist, men nylig eksempel er hentet fra en norsk virksomhet som rapporterte om stort tap som følge av svindel. Til tross for advarsler og anbefalte tiltak etter en tidligere hendelse gikk det galt som følge av kombinasjonen tjenesteutsetting av IT, svak operasjonell håndtering, samt manglende risikoforståelse og -bevissthet i organisasjonen.

Poenget i denne sammenheng er at hendelsen ikke kan tilskrives en ren teknisk svikt, men er en konsekvens. Ja, svindelaktøren var teknisk kompetent og ressurssterk, men årsaken til at de kriminelle klarte å nå sitt mål er organisasjonens svake risikoforståelse og mangel på gjennomføring av adekvate tiltak. Leverandørstyring og forventningsavklaring er blant disse. Da ser vi også hvorfor digital sikkerhet ikke bare er IT-sjefens ansvar, men noe som må stå på toppledelsens og styrets agenda.

Nevnte virksomhet har for øvrig nå fått styrket sin IT-ledelse, vi håper virkelig at de får den støtten som behøves fra styrerommet.