4. Digital sikkerhet
Digital sikkerhet er et samfunnsansvar og digitale trusler utgjør en betydelig risiko for det norske samfunnet og norske virksomheter. Styret skal tilrettelegge for å beskytte mot digitale trusler, skaffe seg en forståelse for trusselbildet og sikre at virksomheten jobber med akseptabel risiko. Styret skal selv vise nysgjerrighet og mot i dialogen om digital sikkerhet.
(Versjon 2-3: Siste oppdatering 2023-03-24)
Kommentarer
Digital sikkerhet er et samfunnsansvar og digitale trusler utgjør en betydelig risiko for det norske samfunnet med høy kritikalitet for store og små bedrifter. Styret skal skaffe seg en forståelse av det digitale trusselbildet virksomheten står ovenfor [1,2,3,4], grunnleggende kompetanse om beste praksis innen håndtering av digitale trusler og gjenoppretting ved hendelser. Digital sikkerhet må være like selvsagt og integrert i virksomheten som andre virksomhetskritiske områder (eksempelvis HMS og bærekraft).
Styret kan oppfylle sitt ansvar innen tilsyn og forvaltning ved å sikre at virksomheten har passende prosesser innen de tre områdene: risikostyring [5] (virksomheten avdekker relevante digitale risikoer på egenhånd), måling av modenhet (virksomheten måler seg selv opp mot anerkjente sikkerhetsrammeverk, f.eks. [6,7]) og eksterne vurderinger av sikkerhetsnivået (virksomheten evalueres/ testes av andre parter, slik at man ikke ser seg blind på et feilaktig sikkerhetsnivå uten innspill fra omverdenen). Det er naturlig at virksomheten har KPIer knyttet til sikkerhet, hvor det blant annet kommer frem hvordan det står til med virksomhetens sikkerhetskultur og evne til å oppdage og håndtere
sikkerhetshendelser og sårbarheter.
Teknologi- og sikkerhetsledere har betydelig lavere tiltro til evnen til å beskytte virksomheten mot digitale trusler enn toppledere (inkludert styrer) [8]. Styret må være bevisst og forsøke motvirke dette kommunikasjonsgapet. I tillegg bør styret være bevisst «Denning-Kruger-effekten» [9], som tilsier man kan ha høy selvtillit innen digital sikkerhet selv om kompetansen er lav. Før mestringsfasen skal ledelsen i en virksomhet gjennom flere faser -- uvitenhet, fornektelse og panikk.
Styremedlemmer bør i møte med digitale sikkerhet utvise nysgjerrighet (stille spørsmål, gjerne dumme), tålmodighet (utvise forståelse for at endring krever tid), modighet (evne å ta beslutninger med høy usikkerhet og personlig risiko), årvåkenhet (være oppmerksom på mulige sikkerhetstrusler i det daglige og være en rollemodell for andre) og åpenhet (invitere til dialog og oppfordre til åpenhet rundt svakheter, hendelser og risiko).
Styret kan oppfylle sitt ansvar innen tilsyn og forvaltning ved å sikre at virksomheten har passende prosesser innen de tre områdene: risikostyring [5] (virksomheten avdekker relevante digitale risikoer på egenhånd), måling av modenhet (virksomheten måler seg selv opp mot anerkjente sikkerhetsrammeverk, f.eks. [6,7]) og eksterne vurderinger av sikkerhetsnivået (virksomheten evalueres/ testes av andre parter, slik at man ikke ser seg blind på et feilaktig sikkerhetsnivå uten innspill fra omverdenen). Det er naturlig at virksomheten har KPIer knyttet til sikkerhet, hvor det blant annet kommer frem hvordan det står til med virksomhetens sikkerhetskultur og evne til å oppdage og håndtere
sikkerhetshendelser og sårbarheter.
Teknologi- og sikkerhetsledere har betydelig lavere tiltro til evnen til å beskytte virksomheten mot digitale trusler enn toppledere (inkludert styrer) [8]. Styret må være bevisst og forsøke motvirke dette kommunikasjonsgapet. I tillegg bør styret være bevisst «Denning-Kruger-effekten» [9], som tilsier man kan ha høy selvtillit innen digital sikkerhet selv om kompetansen er lav. Før mestringsfasen skal ledelsen i en virksomhet gjennom flere faser -- uvitenhet, fornektelse og panikk.
Styremedlemmer bør i møte med digitale sikkerhet utvise nysgjerrighet (stille spørsmål, gjerne dumme), tålmodighet (utvise forståelse for at endring krever tid), modighet (evne å ta beslutninger med høy usikkerhet og personlig risiko), årvåkenhet (være oppmerksom på mulige sikkerhetstrusler i det daglige og være en rollemodell for andre) og åpenhet (invitere til dialog og oppfordre til åpenhet rundt svakheter, hendelser og risiko).
Referanser
1. [NSM 2022] NSM Risiko 2022: NSM_rapport_final_online_enekeltsider.pdf
2. [Etjenesten 2022] Etterretningstjenesten Fokus 2022: Fokus 2022 (forsvaret.no)
3. [PST 2022] PST Nasjonal Trusselvurdering 2022: NTV-2022 (pst.no)
4. [IOCTA 2021] Internet Organised Crime Threat Assessment (IOCTA) 2021: Internet Organised Crime Threat Assessment (IOCTA) 2021 | Europol (europa.eu)
5. [McKinsey] McKinsey – approach to risk-based cybersecurity: The approach to risk-based cybersecurity | McKinsey
6. [ISO27001:2013] ISO/IEC 27001:2013: https://www.iso.org/isoiec-27001-information-security.html
7. [NSM 2022] NSM Grunnprinsipper for IKT-sikkerhet 2.0: https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet-2-0/introduksjon-1/
8. [WEF 2022] World Economic Forum Global Cybersecurity Outlook 2022: Global Cybersecurity Outlook 2022 | World Economic Forum (weforum.org)
9. [Denning-Kruger 2000] Unskilled and Unaware of It: How Difficulties in Recognizing One's Own Incompetence Lead to Inflated Self-Assessments, 2000. https://www.researchgate.net/publication/12688660_Unskilled_and_Unaware_of_It_How_gDifficulties_in_Recognizing_One's_Own_Incompetence_Lead_to_Inflated_Self-Assessments
10. [WEF 2021] World Economic Forum Principles for Board Governance of Cyber Risk Principles for Board Governance of Cyber Risk | World Economic Forum (weforum.org)
11. [NCSC] UK NCSC Questions for boards to ask about cyber security: Board-toolkit-QAs.pdf (ncsc.gov.uk)
12. [Ferillio et al 2022] Proposed SEC Cyber Rules: A Game Changer for Public Companies, Harvard Law School Forum on Corporate Governance: https://corpgov.law.harvard.edu/2022/04/11/proposed-sec-cyber-rules-a-game-changer-for-public-companies
13. [Cybersecurity Venture 2022] Cybersecurity Venture Boardroom Cybersecurity report, Secureworks and Cybersecurity Venture, 2022. https://cybersecurityventures.com/boardroom-cybersecurity-report
14. [White Label Consultancy 2022] 5 Principles for cybersecurity in the Board Room.
15. [Top, E. V. (2021)] Slik vinner du styrerommet - avgjørende samtaler for styremedlemmer. Oslo: Hegnar media.
2. [Etjenesten 2022] Etterretningstjenesten Fokus 2022: Fokus 2022 (forsvaret.no)
3. [PST 2022] PST Nasjonal Trusselvurdering 2022: NTV-2022 (pst.no)
4. [IOCTA 2021] Internet Organised Crime Threat Assessment (IOCTA) 2021: Internet Organised Crime Threat Assessment (IOCTA) 2021 | Europol (europa.eu)
5. [McKinsey] McKinsey – approach to risk-based cybersecurity: The approach to risk-based cybersecurity | McKinsey
6. [ISO27001:2013] ISO/IEC 27001:2013: https://www.iso.org/isoiec-27001-information-security.html
7. [NSM 2022] NSM Grunnprinsipper for IKT-sikkerhet 2.0: https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet-2-0/introduksjon-1/
8. [WEF 2022] World Economic Forum Global Cybersecurity Outlook 2022: Global Cybersecurity Outlook 2022 | World Economic Forum (weforum.org)
9. [Denning-Kruger 2000] Unskilled and Unaware of It: How Difficulties in Recognizing One's Own Incompetence Lead to Inflated Self-Assessments, 2000. https://www.researchgate.net/publication/12688660_Unskilled_and_Unaware_of_It_How_gDifficulties_in_Recognizing_One's_Own_Incompetence_Lead_to_Inflated_Self-Assessments
10. [WEF 2021] World Economic Forum Principles for Board Governance of Cyber Risk Principles for Board Governance of Cyber Risk | World Economic Forum (weforum.org)
11. [NCSC] UK NCSC Questions for boards to ask about cyber security: Board-toolkit-QAs.pdf (ncsc.gov.uk)
12. [Ferillio et al 2022] Proposed SEC Cyber Rules: A Game Changer for Public Companies, Harvard Law School Forum on Corporate Governance: https://corpgov.law.harvard.edu/2022/04/11/proposed-sec-cyber-rules-a-game-changer-for-public-companies
13. [Cybersecurity Venture 2022] Cybersecurity Venture Boardroom Cybersecurity report, Secureworks and Cybersecurity Venture, 2022. https://cybersecurityventures.com/boardroom-cybersecurity-report
14. [White Label Consultancy 2022] 5 Principles for cybersecurity in the Board Room.
15. [Top, E. V. (2021)] Slik vinner du styrerommet - avgjørende samtaler for styremedlemmer. Oslo: Hegnar media.
Forvaltningsansvarlig faggruppe
Dybdahl, Marius
Fjellberg, Anniken
Lunåshaug, Magnvor
Myhre, Ingvild
Vindenes, Knut
Wetteland, Karsten Duus
Årnes, André (leder)
Fjellberg, Anniken
Lunåshaug, Magnvor
Myhre, Ingvild
Vindenes, Knut
Wetteland, Karsten Duus
Årnes, André (leder)