hvorfor ledere betyder noget for cybersikkerhedsbanneret

Hvorfor ledere er vigtige for cybersikkerhed

Ledere spiller en unik rolle i deres organisation - løse problemer, håndtere risici og grænseflader mellem senior ledelse og menige medarbejdere. Det er ledere, der gør strategi til operationel succes ved at overvåge, motivere og lede deres teams. Og det er ledere, der også giver kritisk indsigt opad i kommandokæden, hvis noget ikke fungerer. Så det burde være bekymrende, at en nylig undersøgelse foretaget af Chartered Management Institute (CMI) fundet langt de fleste (85%) af britiske ledere er bekymrede over eskalerende cybertrusselsniveauer.

Heldigvis kan ledere også være en del af løsningen – ved at være med til at opbygge en cyberbevidst kultur i deres organisation.

Storbritannien er ikke sikkert af design

Secure by design betragtes i stigende grad som et strategisk krav i offentlige og private organisationer. Faktisk er det en tilgang, der forkæmpes på regeringens hjerte og på lignende måde fremmes af GDPR regulatorer. På et højt niveau betyder det at sikre, at enhver forretningspraksis med et it- eller digitalt element har risikobaseret cybersikkerhed bagt ind fra starten. Der kræves dog normalt store kulturelle ændringer og bevidstgørelse i organisationen for at få det til at fungere.

På nuværende tidspunkt ser Storbritannien ud til at være langt fra at være designmæssigt sikkert. Regeringens Cyber ​​Security Breach Survey 2024 fremhæver talrige udfordringer, bortset fra det faktum, at 50 % af virksomhederne (stigende til 70 % af mellemstore og 74 % af de store virksomheder) har været udsat for et brud i løbet af de seneste 12 måneder. De vigtigste mangler, den afslører, omfatter:

  • Mindre end en tredjedel (31%) af virksomhederne gennemførte cyberrisikovurderinger i det seneste år. Og kun en tredjedel (33%) implementerede sikkerhedsovervågning
  • Kun 11 % af virksomhederne gennemgår forsyningskæderisici
  • Kun 30 % af virksomhederne har bestyrelsesmedlemmer direkte ansvarlige for cyber som en del af deres rolle, et tal uændret i et år
  • Kun 58 % af mellemstore virksomheder og 66 % af store virksomheder har en formel cybersikkerhedsstrategi på plads
  • Blot en femtedel (22 %) af virksomhederne har planer om hændelser
  • Kun 41 % af virksomhederne søger information eller vejledning om cybersikkerhed uden for organisationen, ned fra 2023-tal (49 %).
  • Kun én ud af 10 kender til det Nationale Cybersikkerhedscenter 10 trins vejledning (13%) og Cyber ​​Essentials (12%)
  • Kun 18 % af virksomhederne giver personaleuddannelse

På denne baggrund er det måske ikke overraskende, at britiske ledere er bekymrede over cybertrusler. Når alt kommer til alt, virker deres organisationer dårligt forberedte til at håndtere den eskalerende cyberrisiko. Selvom det er opmuntrende, at 79 % hævder at have deltaget i cybersikkerhedstræning eller oplysningsprogrammer i det seneste år, siger kun tre femtedele (59 %), at deres arbejdsgiver tilbyder regelmæssig cybersikkerhedstræning for alle medarbejdere.

Nøglen til en mere sikker-bevidst organisation

Alligevel kan ledere spille en afgørende rolle i at få tingene tilbage på rette spor, siger Ian Campbell, senior sikkerhedstekniker hos DomainTools.

”Dag-til-dag tone og prioriteringer er fastsat af ledelsen, samt uddelegering og bemyndigelse. Det giver alle store kulturelle og tekniske muligheder for at sikre organisationen,” siger han til ISMS.online. “C-Suite og ledere sætter tonen; ledelsen udfører på det på jordniveau. Det positionerer ledelsen til direkte og øjeblikkeligt at påvirke frontlinjens sikkerhedskultur."

Som autoritetspersoner kan ledere også have en betydelig psykologisk indvirkning på medarbejderne, hvilket kan være med til at opbygge en cyberbevidst kultur i organisationer, argumenterer Oz Alashe, CEO og grundlægger af CybSafe.

"Ledere har en autoritetsposition i organisationen, hvilket spiller ind i autoritetsbias - et psykologisk princip, hvor folk er mere tilbøjelige til at følge vejledningen fra en, de opfatter som en autoritetsfigur," siger han til ISMS.online.

"Når ledere prioriterer og modellerer god cybersikkerhedspraksis, er medarbejderne mere tilbøjelige til at følge trop."

Det burde derfor være bekymrende, at selvom lederes cybersikkerhedsbevidsthed bliver bedre – med 93 %, der hævder at have en “mellemliggende” eller “avanceret” forståelse af online sikkerhedspraksis – mener 80 %, at deres digitale færdigheder stadig skal forbedres.

Fører ved eksempel

Så hvad kan organisationer gøre for at give deres ledere mulighed for at drive en sikker-by-design-kultur? Det første skridt virker ret indlysende: Sørg for, at disse ledere er tilstrækkeligt uddannet. De bør forstå cyberrelaterede koncepter og bedste praksis såsom social engineering bevidsthed, behovet for stærke adgangskoder og multi-factor authentication (MFA) og vigtigheden af ​​patching. De bør også have ressourcer, værktøjer, politikker og processer til deres rådighed for at sprede bevidsthed og fremme bedste praksis.

En del af dette kommer ifølge Alashe ned til at gå foran med et godt eksempel.

"Ledere er i en unik position til at påvirke adfærd, ikke kun gennem direkte instruktion, men også gennem deres egne handlinger. Når ledere udviser god sikkerhedsadfærd – som at rapportere mistænkte phishing-e-mails – sætter de en standard, som andre burde ønske at følge,” forklarer han.

"Derudover kan ledere udnytte sociale beviser - hvor folk ser på adfærden hos dem omkring dem for at guide deres egne handlinger. Ved at skabe et miljø, hvor overholdelse af sikkerhedspolitikker er normen og synligt praktiseret, kan ledere hjælpe med at etablere en kultur, hvor sikker adfærd er standarden snarere end undtagelsen."

DomainTools' Campbell er enig og argumenterer for, at ledere bør søge at skabe en "tillids- og undersøgelseskultur", hvor personalet opfordres til at rapportere mistænkelige hændelser og bliver rost for at gøre det uanset det endelige resultat.

"Ved at kombinere det med incitamenter til at gå sikkerhedstalen frem i stedet for blot at prædike bevidsthed som et ekstra, ufinansieret mandat vil det skabe et holistisk sikkerhedsprogram fra bunden," tilføjer han. "At give medarbejdere mulighed for at være opmærksomme på og sætte spørgsmålstegn ved nye begivenheder er et stort skridt fremad."

Ledere bør også fungere som en "lynchpin" mellem arbejdsstyrken, teknisk support og sikkerhedsoperationer, tilføjer han.

"De er 'supernoden', der kan – og skal – videregive til TechOps- og SecOps-rapporter om tekniske problemer og workflow-friktion, selvom de videregiver begrundelsen for friktionen og hvordan man bedre kan arbejde i systemet til deres rapporter. Campbell fortsætter. "Dette kommunikationsundernetværk er især vigtigt til at måle og reducere skygge-IT, en af ​​de største overfladetrusler, nogen organisation står over for."

Dette er ikke en nem opgave selv med engagerede og dynamiske ledere. Kulturel forandring kan være udfordrende og tager tid. Grundlæggende skal det starte med tillid, hvilket betyder at vende tilbage til ledelsens grundlæggende principper og opbygge og vedligeholde tillidsforhold til teammedlemmer.

"Find de rigtige mennesker, styrk dem, og byg ud fra det fundament," slutter Campbell.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!