Artikel   12 september 2024

"Dags för ledning och styrelser att ta ansvar för cybersäkerhet"

Nationella säkerhetsmånaden är precis runt hörnet. Nu är det dags att få ledningen och styrelsen att förstå hur viktig cybersäkerhet är för hela verksamheten och för ledningen att föregå med gott exempel. Då krävs att företagsledningen följer NIS2-direktivet och faktiskt genomgår utbildning i cybersäkerhet. Det menar Junglemaps CISO Geir Aasen.

Informationssäkerhet
Säkerhet
NIS2
"Dags för ledning och styrelser att ta ansvar för cybersäkerhet"

Geir Aasen, CISO Junglemap

Enligt NIS2-direktivet ska organisationer inom samhällskritiska och viktiga sektorer genomföra regelbunden cybersäkerhetsutbildning. Det finns dock en uppenbar risk att den här utbildningen bara blir en "tick off the list-aktivitet" – det vill säga en enskild händelse och inte den kontinuerliga process som är nödvändig för att skapa den kulturförändring och robusta cyberresiliens som NIS2-direktivet syftar till.

 Jag tror att vi som säkerhetsexperter måste lyfta detta i tre steg:

För det första måste vi få ledningen att se lärande som en kontinuerlig process och inte som en engångshändelse. Vi måste använda metoder som får alla att komma ihåg vad de lär sig.

För det andra behöver vi metoder som gör det möjligt för oss att vinna kalenderkriget. Fullständiga kalendrar är ett genomgående problem för alla anställda i alla typer av företag, offentliga såväl som privata. Inte minst gäller det företagsledningen. Enkelt uttryckt: Vi behöver en kurs för de som inte har tid att gå en kurs.

För det tredje ska utbildningen ha ett innehåll som gör att ledning och styrelse kan fokusera på rätt saker. Det är viktigt att utbildningen bygger en förståelse på rätt strategisk och operativ nivå. Chefer har ett särskilt ansvar att föregå som goda exempel i arbetet med att bygga en bra informationssäkerhetskultur. 

För att ledningen ska kunna ta ansvar för företagets cybersäkerhet måste de förstå organisationens mognadsnivå samt vilka säkerhetsrisker som finns. Ledningen ska också kunna tilldela tydliga roller och ansvar. Vidare behöver de kunskap om hur man arbetar med ett ledningssystem för cybersäkerhet och hur man gör riskbedömningar. De behöver också kunskap om outsourcing och tredjepartsriskhantering. En ledning ska också ha kontroll över regelefterlevnad, incidenthantering, kontinuitet och framtida planering av cybersäkerhet. Allt detta bidrar till att bygga förtroende för verksamheten.

Och sist men inte minst: Ledningen måste nästan alltid bli bättre på att kommunicera vikten av säkerhet.

Junglemaps kurs Digital säkerhet för styrelse och ledning uppfyller alla dessa nödvändiga steg: Kursen bygger på lärande som en process där lektionsmodulerna skickas ut över tid och i ett 3-minuters lektionsformat som gör det enkelt att genomföra lektionerna i en hektisk vardag. Innehållet i kursen ger chefer den kompetens som krävs enligt NIS2-direktivet.

Med utbildning av den typ som vi på Junglemap erbjuder är jag säker på att säkerhetsmånaden kan utgöra startpunkten för ett större engagemang från ledning och styrelser kring cybersäkerhet.

 

Geir Aasen
CISO Junglemap

Artikel   12 september 2024