av Lars Strand.

Innlegget sto på trykk i Finansavisen 20. januar 2020.

De siste årene har fokuset på digital sikkerhet økt. Regjeringen lanserte en ny nasjonal strategi for digital sikkerhet for ett år siden. Da stod statsministeren og fire ministere på scenen og var samstemte om viktigheten av digital sikkerhet. I november åpnet Nasjonalt cybersikkerhetssenter sentralt i Oslo sentrum. Her er private og offentlige partnere invitert inn til å jobbe sammen med oss. Vi har fått ny sikkerhetslov og NIS-direktivet banker på døren. Tema digital sikkerhet er løftet på dagsordenen. Det merker vi både blant teknologene/ingeniørene, men også hos toppledelsen.

Tidligere ble vi i NSM spurt om råds til hvordan sikkerhetsarbeidet kunne løftes til toppledelsen. Vi erfarte at det var et gap mellom teknologene og toppledelsen på prioritet og forståelse. De «snakket forbi hverandre». Når vi utarbeidet «NSMs grunnprinsipper for IKT-sikkerhet» hadde vi særlig fokus på å gi gode argumenter til IT-ledere som kunne benyttes «oppover» til toppledelsen. Argumenter som skulle gjøre det lettere å kommunisere med toppledelsen.

Nå er problemstillingen blitt en annen: Toppledere har endelig blitt oppmerksomme på at digital sikkerhet kan ha en særlig stor effekt på virksomhetens måloppnåelse og hvor viktig det er for å beskytte omdømme. Så nå får vi flere spørsmål fra ledere at typen «Ja, vi vet at digital sikkerhet er viktig, men hva gjør jeg nå? Hvilke spørsmål/KPIer skal jeg stille innover i organisasjonen?»

Det synes vi er en gledelig utvikling, og er en problemstilling vi skal imøtekomme med mer konkrete råd. I tillegg til grunnprinsipper for IKT-sikkerhet er vi i gang med å lage et sett med grunnprinsipper for sikkerhetsstyring samt grunnprinsipper for personell og fysisk sikkerhet. Samlet skal alle NSMs ulike grunnprinsipper gi anbefalinger knyttet til hvordan virksomheten kan oppnå og opprettholde et forsvarlig sikkerhetsnivå. Utvikling av anbefalinger og råd skal vi gjøre i tett dialog med næringslivet, og spesielt partnere knyttet til cybersikkerhetssenteret.

Et stort flertall av IT-ledere/sikkerhetsledere er teknologer/ingeniører som både tenker og presenterer problemer og løsninger som ikke alltid er interessant for toppledelsen. Det er naturlig for teknologer å både tenke og snakke i en teknisk sjargong. Når de kommuniserer om digital risiko og sikkerhetsarbeid skjer det ofte fra et teknisk og taktisk perspektiv. Det snakkes om sårbarheter og trusler og tekniske løsninger, og ikke sikkerhetsarbeidet sett opp mot kjernevirksomheten og forretningsprosesser. Dette kan medføre mangelfull dialog og dårlig kommunikasjon. Resultatet blir at ledelsen ikke er tilstrekkelig informert og tar beslutninger på mangelfullt underlag.

Vi som jobber med digital sikkerhet må forstå at toppledelsens fokus er annerledes. Toppledelsen er primært interessert i tre temaer: Økonomisk resultat, markedsutvikling og (økonomisk) risiko. All kommunikasjon med styret bør derfor med fordel hektes opp mot et av disse tre for at man skal «nå frem».