14. august: Cybersikkerhed er ikke kun et it-problem – men i høj grad en ledelsesopgave

I mit arbejde med at få flere SMV’er til at løfte deres indsats på cybersikkerhedsområdet møder jeg forskellige slags forklaringer på, hvorfor det ikke sker. Nogle af klassikerne er, at det ikke er relevant for netop dem, fordi de er små, og ”cyberkriminelle angriber jo kun store virksomheder”, eller de fortæller, at de ikke har noget data, der er værd at stjæle. Det er desværre helt forkerte antagelser, da de fleste angreb netop rettes mod SMV’er, og alle virksomheder har data, der er værd at stjæle eller kryptere for fx at lave pengeafpresning.

Men det er et andet fænomen, jeg vil tage fat i her. Jeg møder ofte it-folk, som enten arbejder i en SMV eller understøtter en SMV i en ekstern kapacitet. De er tit frustrerede over, at de kender til udfordringerne, men ikke kan komme igennem til ledelsen med deres ønsker om tiltag. Cybersikkerhed bliver set som et it-problem, der kræver tekniske løsninger. 

Når cybersikkerhed reduceres til teknik, mister vi overblikket
Så lad os starte med at slå helt fast: Cybersikkerhed er en ledelsesopgave, som skal være på ledelsens og bestyrelsens agendaer. Der er naturligvis meget tekniske aspekter omkring dele af cyberforsvaret, men cyberforsvaret bygger også på kultur, adfærd, processer og procedurer. I sin helt banale form kan man sige, at når en hvilken som helst medarbejder, også direktøren, kan komme til at åbne en phishing e-mail, så er det ikke nok med tekniske løsninger. 

Hvis der ikke er helt klare procedurer for, hvordan og hvornår fakturaer må betales, så kan hverken it eller ferieafløseren gøre det rigtige i tilfælde af svindelforsøg. Hvis man ikke træner medarbejderne i at være opmærksomme på mistænkelige henvendelser, er det vanskeligt at forebygge angreb.

Hvis man ikke skaber en kultur, hvor det er trygt for en medarbejder at indrømme, at man kom til at åbne en fil, man nok ikke skulle have åbnet, er det vanskeligt at få adresseret problemerne, før de vokser sig uoverskueligt store

Hvis ikke ledelsen synligt tager ansvar for cybersikkerheden, kan man dårligt forvente, at organisationen gør det. NIS2 placerer da også ansvaret for cybersikkerheden hos ledelsen. Cybersikkerhed skal ikke handle om at være heldig. At man ikke har oplevet et angreb endnu (eller ikke er klar over, at man allerede er under angreb) er ikke en farbar strategi for at sikre virksomheden i fremtiden. 

Hele organisationen skal med – ellers virker det ikke
Når jeg laver cybersikkerhedstjek ude hos virksomhederne - en form for screening af tilstanden baseret på målrettede spørgsmål -, er kvaliteten af svarene betydeligt højere, når svarene bygger på deltagelse fra hele organisationen, herunder ledelsen. Det giver nogle konkrete afsæt for det videre arbejde - og det er ikke kun it, der skal i gang.  

Cybersikkerhed kræver handling – ikke kun fra it-afdelingen, men fra hele organisationen, med ledelsen som den drivende kraft. Alle virksomheder bør som absolut minimum sikre kontinuerlig undervisning (og ja, ledelsen skal deltage hver gang), have en gennemtestet beredskabsplan, styr på adfærd, to-faktorgodkendelse, kendskab til data og hvad der er kritisk, følsomt eller hemmeligt mm., have kendskab til it-landskabet og sørge for løbende opdateringer af software og solide backups.

Og det er her, at it-afdelingen kan gøre en forskel. For det er dem, som ser truslerne materialisere sig, og derfor er de de bedste ambassadører for forandring. De skal bruge den viden, de allerede har, til at samarbejde med ledelsen om at omsætte tekniske risici til forretningssprog, skitsere konkrete scenarier og prissætte både konsekvenser og investeringer. Gør det let for direktøren at forstå, hvorfor cybersikkerhed er lige så kritisk som likviditet og kundegrundlag og vis, at indsatsen kræver kontinuerlig prioritering. 

It kan ikke stå alene – det her kræver, at ledelsen går forrest. Ellers risikerer man, at den næste phishingmail bliver den sidste post på regnskabet.

 Debatindlægget blev bragt i ITWatch 14. august 2025