Vad krävs för att mäta digitalt ansvar?
Hur ska man i ledningsgrupper och styrelser hantera diskussionen kring hur man tar sitt digitala ansvar? För att bli en digitalt ansvarsfull aktör krävs att ett helhetsgrepp tas kring hanteringen av data och information. Detta behöver göras samtidigt som man digitaliserar med ljusets hastighet i en värld där mycket handlar om kostnadsoptimering.
Vid val av produkter, antingen som producent eller användare, värderas idag funktionalitet många gånger högre än att skydda sina digitala tillgångar och därmed riskerar man att nya risker uppstår som inte tidigare har varit aktuella, det kan handla om ekonomiska aspekter och att företagets anseende riskeras.
Olika organisationer har olika skäl till att fundera på detta. Man är orolig att förlora kunder och goodwill om man syns i media för att skyddsvärd information har kommit i orätta händer. Den nya personuppgiftlagen, GDPR, kommer dessutom kunna drabba företag direkt med ekonomiska viten i fall med oriktig hantering av personuppgifter. Det kan vara produktionsstopp eller förlust av IPR:er som är skälet. Eller helt enkelt att man har juridiska skyldigheter att hantera sina digitala värden med omsorg.
För att hitta balansen mellan digitalisering och cybersäkerhet ser vi ett brådskande behov av nyckeltal för att styra beteenden och prioriteringar med hjälp av siffror och mätetal.
Ska en VD ha tillgång till allt?
Idag finns det ett antal verktyg som kan appliceras för att uppnå bättre informationssäkerhet, t.ex. ISO 27001, men de tenderar att bli statiska verktyg som görs utan någon närmare eftertanke. Det blir gärna en ”tick-in-the-box” och ingenting mer. Symtom på detta kan vara att man har en säkerhets-/informationspolicy men man utbildar inte personalen ordentligt i hur den ska hanteras. Man kan ha det bästa skalskyddet men väl innanför detta saknas separation mellan olika klassade informationsdomäner. Hur man internt hanterar tillgänglighet och delegation kan vara baserat på intern hierarki. Ska en VD alltid ha tillgång till allting?
Detta är risker i sig själv där lättja fort infinner sig och man blir nöjd utan att för den saken skull ha identifierat sina verkliga digitala värden och byggt en mer gerillaliknande försvarsmodell. Det är inte troligt att samma säkerhetslösningar för alla företag och alla hot är en bra design.
Växande behov av nyckeltal
För att skapa en bättre dialog mellan ledning, affärsägare och teknik behövs en ny typ av nyckeltal som ska vara enkla att ta till sig och ge en bättre bild av olika nivåer och hur man förbättrar sig där man vill förbättra sig. Nyckeltalet kan hållas helt och hållet internt som ett sätt att föra en konstruktiv dialog och förhindra att man blottar sig mot konkurrenter, kunder och ägare. Det kan även vara ett verktyg för att konkurrera genom att visa sig villig att investera inom området då detta kan vara av största vikt för slutkunder. Även mot ägare kan detta vara av väldigt stor betydelse eftersom det visar på att man hanterar deras värden på ett förnuftigt sätt.
Ett nyckeltal bör vara enkelt att ta till sig, likt ett p/e-tal för börsbolag. Vi menar att detta nyckeltal för cybersäkerhet, och därmed hur väl man faktiskt har digitaliserat sina tillgångar, principiellt kan se ut som följer:
Vill du fördjupa dig mer i hur vi tillsammans kan driva utvecklingen av cybersäkerhet framåt med hjälp av nyckeltal? Ladda ner vårt nya White Paper ”Moving Cybersecurity forward” som vi har tagit fram tillsammans med analytiker från Radar.
