Att informationssäkerhet blivit en styrelsefråga är egentligen inte så konstigt. Nuförtiden förlitar sig de flesta företag på digital infrastruktur för precis allt möjligt, från e-post och kunduppgifter till hela produktionslinor. Trots detta är vi ofta mer noga med att sätta hjälm på barnen när de cyklar än att skydda våra digitala tillgångar. Hem och bilar försäkrar vi utan att blinka, men när det handlar om företagets säkerhetsrutiner händer det ibland att vi tar onödigt stora risker.

Det är lätt hänt att säkerhetsarbetet hamnar i skymundan tills något allvarligt inträffar. Men en bra säkerhetskultur måste byggas upp innan en incident – inte efteråt. Det kan absolut kosta pengar och kräva förändringsarbete, men kostnaden för en cyberattack kan bli mångdubbelt större. Nya regelverk, som till exempel Nis2 och CER, ställer dessutom högre krav på ordning och reda i säkerhetsarbetet.

Frågan är: hur börjar vi? För det första behöver vi prata om informationssäkerhet på styrelsenivå. Styrelsen måste förstå vilka risker som finns och prioritera resurser för att skydda företagets kritiska tillgångar. För det andra behöver vi skapa en stark säkerhetskultur som genomsyrar alla delar av organisationen. Säkerhet ska inte vara ett nischat IT-problem, utan något alla tar ansvar för – från ledningen och ner till den sista anställda.

I slutändan handlar det inte om att stänga in sig i en digital bunker, utan om att vara realistisk. Precis som vi är när vi sätter cykelhjälm på barnen eller låser huset inför semestern. Genom att investera i rätt åtgärder och utbilda våra medarbetare kan vi förebygga och hantera de hot som dyker upp. Informationssäkerhet i styrelserummet är därför inte bara en trend, utan en nödvändighet i vår alltmer digitala värld.

Hur jobbar ni själva med säkerhetsarbetet och kulturen på ditt arbete?