Cybersecurity Governance: Best Practices for executives and Board Members
International Bar Association har netop udgivet rapporten "Cybersecurity Governance: Best Practices for executives and Board Members". Blandt de primære forfattere til rapporten er Søren Skibsted, partner hos Kromann Reumert. Formålet har været at udarbejde den første globale vejledning om beskyttelse mod cyberrisici og samtidig komme med specifikke anbefalinger til ledelses- og bestyrelsesmedlemmer med henblik på at de bedre vil kunne beskytte deres organisationer mod globale cyberrisici.
Cybersikkerhed er blevet en topprioritet for organisationer. Det kræver stor opmærksomhed hos den øverste ledelse og bestyrelsen. Det er selvsagt vigtigt at overholde gældende love og regler, men det er ikke længere tilstrækkeligt, når man ønsker at beskytte sig mod cyberrisici, der løbende ændrer sig. Ledelsen må påtage sig ansvaret for at agere som ansvarlige ambassadører og sikre virksomhedens centrale aktiver.
"Drejebogen" for god cyberledelse indebærer, at ledelsen spiller en aktiv rolle og engagerer sig i cyberspørgsmål. Ledelsen forventes at sætte sig nøje ind i organisationens risikoprofil, kritiske systemer og data. Selv om den præcise ansvarsfordeling, herunder mellem direkion og ledelse, afhænger af den enkelte jurisdiktion, er principperne for god cyberledelse de samme.
Rapporten indeholder blandt andet følgende anbefalinger for at opnå bedre styring af cyberrisici:
- Forstå organisationens cyberrisikoprofil.
- Forstå de vigtigste aktiver, der skal beskyttes.
- Forstå de væsentligste lovkrav.
- Fastlæg en passende risikotolerance for organisationen.
- Forstå hvilke cybersikkerhedsstandarder organisationen anvender.
- Træf passende beslutninger om beskyttelse af vigtige aktiver.
- Foretag regelmæssige risikovurderinger.
- Forstå, hvem der "ejer" ledelsen af cybersikkerhed og cyberrisikostyring.
- Sørg for, at bestyrelsen har tilstrækkelig viden om cybersikkerhed.
- Sørg for, at direktionen har tilstrækkelig viden om cybersikkerhed.
- Invester tilstrækkelige midler i at opfylde virksomhedens mål for cybersikkerhed.
- Forstå proceduren for cybersikkerhedstests og -undervisning og gennemgå resultaterne.
- Sørg for at holde den øverste ledelse og bestyrelsen opdateret.
- Etablér passende rapporteringsveje, så væsentlige cyberrisici eskaleres til ledelsen.
- Vurder om ændringer i virksomhedens forhold ændrer risikobilledet.
- Gennemgå, forstå og test organisationens beredskabsplaner for cyberhændelser.
- Følg op på væsentlige hændelser.
Formålet med rapporten er ikke at gøre os alle til tekniske eksperter. Den skal give inspiration til en køreplan for en stærk cyberrisikostyring. Ved implementering af de anbefalede tiltag kan organisationer styrke deres cyberrisikoledelse.