Thomas Aanstad Evensen: Cybersikkerhet – et lederansvar som ikke bare kan delegeres

Thomas Aanstad Evensen er Norgessjef i Fortinet.

SYNSPUNKT. De siste årene har vi sett hvordan cyberangrep kan få alvorlige konsekvenser. Hendelser som angrepet mot Risevatnet-dammen i Bremanger illustrerer hvor sårbar kritisk infrastruktur kan være, og hvordan digital risiko kan få direkte konsekvenser for drift, økonomi og i ytterste konsekvens, liv og helse. Samtidig har Nasjonal sikkerhetsmyndighet (NSM) advart om at digital aktivitet rettet mot norske virksomheter øker, både i omfang og alvor, og kommer med en klar oppfordring til norske virksomheter: ha tydelige beredskapsplaner og øv på disse.

I en tid der digitalisering gir store gevinster i form av effektivisering og innovasjon, øker samtidig sårbarheten. Et vellykket angrep kan koste millioner i tapt produksjon, skade virksomhetens omdømme og svekke samfunnets tillit. For mange ledere er dette en erkjennelse som for alvor setter cybersikkerhet på dagsorden.

En tydelig trend: Sikkerhet til topps 

I en internasjonal rapport fra Fortinet basert på svar fra mer enn 550 fagpersoner, inkludert norske virksomheter, fremgår det at stadig flere løfter ansvaret for sikkerheten i sine produksjons- og driftsmiljøer helt opp til ledergruppen og styrerommet. Over halvparten av respondentene har allerede lagt dette ansvaret på toppnivå, og fire av fem planlegger å gjøre det samme i løpet av året.

Dette er ikke tilfeldig. Cybersikkerhet rangeres nå på linje med økonomi, bærekraft og innovasjon som en strategisk nøkkelprioritet. Virksomheter som tar dette ansvaret på alvor, rapporterer færre angrep, mindre nedetid og bedre evne til å håndtere kriser.

Fra IT-utfordring til lederoppgave 

Hva betyr dette for dagens ledere? Først og fremst at cybersikkerhet ikke lenger bare kan behandles som en støttefunksjon. Det er en grunnleggende forutsetning for å kunne levere på virksomhetens kjerneoppdrag, enten det handler om å produsere varer, levere tjenester eller forvalte samfunnskritiske ressurser.

Lederrollen handler derfor om å:

• Integrere sikkerhet i strategi og styring, slik at risikovurderinger blir en del av alle viktige beslutninger.
• Bygge kultur, der hele organisasjonen forstår betydningen av sikkerhet, og ansatte ser sin rolle i å forebygge og håndtere hendelser.
• Etablere eierskap, i ledergruppen og styret, slik at ansvaret blir en naturlig del av virksomhetens helhetlige styring.

Fem råd til ledere 

For ledere som vil ta eierskap til sikkerhetsspørsmålet er følgende prinsipper et godt utgangspunkt:

1. Få oversikt: etterspør kartlegging av kritiske systemer og risikoer, og bruk innsikten aktivt i strategiske beslutninger.
2. Prioriter det mest sårbare: sørg for at kritiske systemer er tydelig adskilt og ekstra godt beskyttet, slik at små hendelser ikke blir til store kriser.
3. Utvid beredskapsplanen: beredskap må handle om mer enn IT og økonomi. Spør: hva skjer med virksomheten dersom produksjon eller drift stopper opp?
4. Forenkle styringen: krev løsninger som gir oversikt på tvers, slik at både ledelse og fagmiljøer kan reagere raskt når noe skjer.
5. Bygg læring inn i kulturen: følg trusselbildet i din bransje, og sørg for at organisasjonen trener og oppdaterer seg fortløpende.

For dagens ledere kan ikke cybersikkerhet lenger være en teknisk detalj. Det er en strategisk forpliktelse, på linje med økonomisk styring, bærekraft og innovasjon. De som tar dette på alvor, står bedre rustet til å skape trygghet for ansatte, kunder og samfunn.

Å løfte cybersikkerhet til toppledelsen handler derfor ikke bare om å beskytte systemer. Det handler om å sikre tillit, levere på samfunnsoppdraget, og å utøve godt lederskap i en digital tidsalder.