Slik lykkes du med cyberstrategi

Artikkel

Slik lykkes du med din cyberstrategi

Hele organisasjonen må med på laget

En god cyberstrategi er nøkkelen for å begrense forretnings- og samfunnsmessige konsekvenser av cyberangrep, men den blir først god når den tas i bruk av hele organisasjonen.

Publisert: 02.11.2022

Én av tre mangler en cyberstrategi

Økt digitalisering skaper mulighet for innovasjon, vekst og økt lønnsomhet, men avhengigheten til de digitale løsningene medfører også større forretnings- og samfunnsmessige konsekvenser av vellykkede cyberangrep. Virksomheter som lykkes med å jobbe strategisk og helhetlig med cybersikkerhet vil være bedre posisjonert til å identifisere og forstå sitt risikobilde, og ta gode beslutninger som både muliggjør forretningen og adresserer trusselbildet.

Respons Analyse har på vegne av Deloitte utført en spørreundersøkelse blant offentlige og private virksomheter som viser at det er bred enighet om at en cyberstrategi er viktig for å bidra til å forhindre økonomisk tap ved cyberangrep. Til tross for dette viser undersøkelsen at én av tre norske virksomheter mangler en cyberstrategi. Videre vil effekten av en strategi først gjøre seg gjeldende når denne er implementert, og undersøkelsen peker på at det er nettopp implementering som er mest utfordrende. Det er dermed naturlig å spørre seg hvordan vi kan adressere utfordringene rundt definering og implementering av en cyberstrategi slik at flere lykkes med å sikre sine viktigste verdier.

I undersøkelsen kommer det frem at definering og implementering av strategien hovedsakelig utføres av IT-avdelingen. Dette er ikke unaturlig gitt tematikken, men det er avgjørende at resten av virksomheten ikke oppfatter arbeidet som et rent IT-anliggende og at de involveres tett i prosessen. Videre krever en slik prosess kontinuerlig oppfølging og justeringer, men undersøkelsen viser at kun én av fem virksomheter har implementert metrikker for oppfølging av transformasjonsprosessen. Dette gjør det utfordrende å avdekke behov for nødvendige justeringer underveis, og øker sannsynligheten for en mislykket implementering.

Varig endring gjennom endringsledelse og kommunikasjon

Manglende kunnskap i organisasjonen er det aspektet flest peker på som mest utfordrende i implementeringsfasen. Mange virksomheter benytter seg i stor grad av intranettet og nyhetsbrev for å kommunisere innholdet i cyberstrategien sin. Vår erfaring gjennom en rekke store transformasjonsprogrammer både i Norge og globalt er at det krever en mye «bredere» tilnærming for å få frem budskapet og oppnå ønsket effekt. I tillegg til spisskompetanse innen teknologi og cybersikkerhet, involverer vi derfor personer med ekspertkompetanse på endringsledelse og kommunikasjon for å sørge for at vi oppnår varig endring. Vårt utgangspunkt for å skape varig endring er at det ikke er organisasjoner som endrer seg, men individer. Alle ansatte har sine individuelle historier, perspektiver og kompetanse som vil spille inn på endringsreisen. Og det er summen av endring på individnivå som skaper resultater.

Ved innføringen av en cyberstrategi bør man skape en bevissthet rundt hvorfor endring må skje, hvorfor den må skje nå og hva som er risikoen dersom vi ikke endrer atferd. Et annet sentralt element er å skape engasjement og motivasjon for å endre seg og sitt atferdsmønster. Dette gjelder oss alle, uavhengig av rolle eller stilling i organisasjonen. Vi opplever at topp- og mellomledernivå spiller en kritisk rolle i å kommunisere viktigheten av cybersikkerhet i den konteksten de ansatte står i. Konkrete eksempler på hvilke trusler vi står ovenfor og synliggjøring av fallgruver, men også mulighetene økt sikkerhet gir, er virkemidler som kan gjøre behovet for endring mer virkelighetsnært og relevant.

Cyberstrategi som en kontinuerlig prosess

Først når bevissthet og motivasjon for endring er på plass, gir det mening å bygge kompetanse og ferdigheter som gjør en i stand til å ta de riktige veivalgene i det daglige arbeidet. Relevant og virkelighetsnær opplæring hvor deltakerne får feedback kan bidra til å forsterke læringsutbyttet i samspill med tester og måling.

Endring er ikke en hendelse, men en prosess og i en verden med stadig raskere endringstakt er det sentralt at organisasjoner holder tritt med utviklingen. Dette krever igjen at ledere på alle nivåer har et tydelig og kontinuerlig fokus på viktigheten av cybersikkerhet fra strategi til faktisk sikkerhetsatferd på individnivå.

Viktigheten av å lykkes med cybersikkerhet i dagens digitale samfunn er udiskutabel. Hvordan vi tilnærmer oss problemstillingen er avgjørende. Cybersikkerhet er et krevende og komplekst tema, og er avhengig av at hele organisasjonen involveres for å lykkes!

Fem tips til deg som skal definere eller implementere en cyberstrategi

1. Sørg for involvering og forankring med toppledelsen

2. Forstå forretningen, identifiser kronjuvelene som må beskyttes, og definer et korrekt ambisjonsnivå

3. Bruk standardisert rammeverk for å fortså hvor man står, men sørg for at implementeringen tilpasses egen organisasjon

4. En ny cyberstrategi vil kreve nye måter å jobbe på, det er derfor viktig å definere en arbeidsmetodikk som understøtter strategien

5. En vellykket implementering av cyberstrategien krever bred involvering av virksomheten og en god oppfølging underveis

Var denne siden nyttig?