Viktigheten av cyber-kompetanse i styret

God sikkerhetskultur er viktig for alle bedrifter i 2021. I Admincontrol har de jobbet systematisk for å sertifisere hele selskapet i henhold til ISO 27001:2013 standarden. – Det er ekstremt viktig å ha kontroll og god sikkerhetsforståelse i hele organisasjonen når vi jobber med så mye sensitiv informasjon.

– Bruddet skjer ofte i svakeste ledd, derfor er det viktig at alle delene i bedriften spiller på lag for å fremme god sikkerhet, sier Ole Martin Refvik, som er Security Manager & Data Protection Officer i Admincontrol.

Refvik har vært sikkerhetsansvarlig siden 2015 og sørger for at sikkerheten er på plass, men presiserer at dette ikke er en énmannsjobb.

– God sikkerhet i dag innebærer flere forskjellige disipliner og det er viktig at alt spiller sammen, da trengs det mer enn bare en sikkerhetsansvarlig, sier Ole Martin.

Ole Martin Refvik

Security Manager & Data Protection Officer i Admincontrol

Cyber-kompetanse i styret

Direktør i Nasjonal Sikkerhetsmyndighet, Sofie Nystrøm, uttalte nylig i en artikkel i Finanswatch at kompetanse innen cybersikkerhet er like viktig som teknologi og finans.

– Minst ett styremedlem bør ha cyberkompetanse. Dette er et altfor komplisert felt til at virksomheter kan sette det bort eller delegere det til lavere nivåer, sier Nystrøm.

Admincontrol synes det er veldig bra at NSM direktøren fremhever dette.

Siden 2005 har Admincontrol vært på markedet og er nå en del av Visma-konsernet. Der sikrer de løsninger og samarbeider mot et felles mål.

– Vi leverer i dag to hovedprodukter som begge gir en sikker samarbeidsplattform, det baserer seg på sikker deling og samhandling av sensitiv og konfidensiell informasjon,

Driften som rammes

– I dag er veldig mye informasjon digitalt og det finnes mange angrepsfaktorer. Angriperne er blitt profesjonelle og et angrep kan ramme deg like godt som kollegaen din. Det er ikke lenger nok å være fullstendig oppdatert, forteller Refvik.

– Selv om man tenker at du som person eller det du sitter på av informasjon ikke er attraktivt, så er det til syvende og sist driften av selskapet som rammes. Databrudd har ofte store konsekvenser. Det er mye data i omløp og mange kontakter som også kan bli rammet, og til slutt får man ikke gjort jobben sin. Cyberrisiko skal alltid med i bildet og inn i det grunnleggende av å drive bedrift, for dette kan ramme alle bransjer.

– Å gjøre de tilstrekkelige tiltakene slik at den daglige driften er beskyttet – er like viktig som at de ansatte gjør jobben sin, sier Refvik.

Forståelse i toppen

Det går fra utvikling til drift og infrastruktur, til å sikre koder og programvarer.

– Og så har du den organisatoriske sikkerheten, som inkluderer den menneskelige faktoren, og den er viktig. Alle ansatte skal ha forståelse for at sikkerhet er viktig og hva de kan bidra med, og der kommer ledelsen inn, sier Refvik.

Kompetanse på sikkerhet og forståelse for informasjonsteknologi er to viktige faktorer.

– Styret og ledelsen må sette agendaen og forstå hva som kreves for å holde seg oppdatert på trusselbildet og motvirke de truslene som er der. Ledelsen må forstå at det krever både ressurser og spesialkompetanse og få de ansatte med. Sikkerheten er like viktig for den daglige driften som at det skal komme penger inn, sier Ole Martin.

«Det første er å forstå at det kan skje – det neste er å gjøre noe med det.»

Refvik presiserer at alle ansatte må forstå at de har et ansvar og at det er alles ansvar. Når det er etablert innad i bedriften, kan man fokusere på å forbedre og tilpasse tiltakene til bedriftens behov.

 – Et konkret tiltak jeg mener bør være på plass hos alle bedrifter er tofaktorautentisering. Å ikke ha 2-faktor er dårlig sikkerhetspraksis. Dette er et tiltak som generelt har en lav kostnad å få på plass og er veldig effektivt for å beskytte bedriftens systemer og verdier.

– Informasjonssikkerhet er tross alt å beskytte verdiene du har, avslutter Ole Martin Refvik.

Av Martine Kolstad