It-sikkerhed på vej mod toppen af erhvervslivet

Artikel: It-sikkerhed i topledelsen

6. juli 2021

Security
Artikel

Tendensen er klar: It-sikkerhed som topprioritet er på vej mod tinderne i dansk erhvervsliv. I hvert fald ifølge medier og ikke så få organisationer. Dansk Industri bekræfter det stigende fokus i juni 2021 og siger, at det kræver ledelseskræfter. Kort efter stemte Industriens Fond i og offentliggjorde, at man vil uddanne 6.000 bestyrelsesmedlemmer i it-sikkerhed. Men hvordan står det til, hvis man spørger virksomhederne selv? ER der en stigende interesse og et øget fokus? I dén grad!

Netop dét mærker vi i Danoffice IT på mange måder. En tydelig indikator er, at vores egen Torben Christensen i dag finder sig selv i spidsen for noget, der minder om et it-sikkerheds-roadshow. En pendant til Stand-Up-genrens one-man-shows. Bortset fra at hér er der sjældent noget at grine af. Og efter et angreb står man ikke op – man ligger ned.

Ikke desto mindre er sagen den, at i 2021 har det ene erhvervsnetværk efter det andet bedt Torben om at komme forbi og holde oplæg om it-sikkerhed. I salene tager bestyrelsesmedlemmer, topledelser og andre centrale beslutningstagere plads. Måske ved de, at Torben Christensen er tidligere it-direktør i den globale storkoncern, Eurofins. Måske ikke. Men den store efterspørgsel er afstedkommet uden skyggen af annoncering eller markedsføring af Torben og hans omrejsende sikkerhedscirkus. Vi snakker altså en helt organisk udbredelse af det gode budskab. Fra mund til mund. Fra netværk til netværk.

”Folk er vilde efter at høre, hvor galt det er gået”

Torben's roadshow skiller sig også væsentligt ud fra mængden af løftede pegefingre og junglen af råd og salgstricks. Han tager nemlig ud og taler med folk – og spørger, hvad de vil høre om. Og der tegner sig et klart billede: ”Folk er vilde efter at høre, hvor galt, det er gået derude”, fortæller han. Og det er der nok en god forklaring på.

”Det er lidt hot”, indrømmer Torben Christensen på spørgsmålet om, hvor stor en efterspørgsel han oplever på sine optrædener. Selvom it-sikkerhed er så lidt nyt, som noget næsten kan være, så er det stadig brandvarmt. Årsagen? Fordi bevidstheden og forankringen af den ikke er fulgt med udviklingen og det konstant stigende trusselsbillede. Det vil sige, at beredskaberne ofte ikke matcher virkelighedens alvor. Vi har derfor stævnet Torben for at høre, hvad folk vil høre om – og hvad han får retur fra de mange virksomhedsledere og bestyrelsesmedlemmer, han møder.

Torben Christensen er gjort af et særligt stof. Han ikke er en gennemsnitlig it-mand. Før Danoffice IT kom Torben fra en stilling som it-direktør med base i udlandet i en international kæmpekoncern. Med tusinder af ansatte og deraf også millionstore it-budgetter. Måske den erfaring gør, at han kan tale til virksomhedsejere, -ledere og bestyrelsesmedlemmer, så alle er med? Men Torben er også kulturbærer og en peoples person, som man siger på godt dansk. Og sidstnævnte spiller også ind i forhold til at formidle og til at analysere sine modtageres respons – og skabe dialogen.

Var bekymret for, om det var for banalt

I Danoffice IT har vi (inklusive Torben) de senere år været involveret i og bevidnet flere af de helt store cyberangreb på virksomheder herhjemme og internationalt. Vi er ikke et sikkerhedshus, men vi har over tid fået tildelt en position og en rolle som dem, der kan styre processen, skabe beredskabet og rydde op. Og vigtigst af alt re-etablere driften, minimere tabet og forebygge, at det sker igen. Torben har været bag kulissen ved flere angreb, og har oplevet det på egen krop som it-direktør. De erfaringer deler han nu ud af på landevejen.

”I starten, da jeg begyndte at få kontakt til de første erhvervsnetværk, var jeg faktisk bekymret for, om det, jeg havde at sige, var for banalt. Problemet er bare, at det stadig er meget basale ting, som mangler i sikkerheden hos mange virksomheder. Men jeg tænkte, at det nok var for tyndt at rejse rundt med. Men det var det IKKE”, understreger Torben.

Helt almindelig husholdning

Baggrunden for denne snak med Torben er at sætte en streg under, at der er et stort behov for at klæde topledelser på til at forstå, hvad it-sikkerhed er – og at det i dag er et vigtigt konkurrenceparameter og en betingelse for overhovedet at kunne drive forretning. Da Torben begyndte at turnere rundt i erhvervsnetværkene, blev det hurtigt klart, at mange gik rundt med forestillinger om it og sikkerhed, som var ”så langt fra virkeligheden, at man skulle tro, at de aldrig har haft en samtale med deres it-afdeling”, som Torben udtrykker det. ”Når folk derude snakker sikkerhed, så tænker de helt automatisk på noget dyrt og på firewalls og systemer. Men i essensen er det slet ikke dét, det drejer sig om”, siger han og fortsætter: ”Det handler om helt almindelig husholdning, som man skal udføre i sin infrastruktur. Når jeg spurgte til de mest basale ting; hvor mange har aktiveret xxxx eller yyy? Hvor mange har implementeret Z eller Q? Og allerede i den første runde foredrag viste det sig, at der er forbløffende lidt styr på det derude”.

I kommer RIGTIG langt uden at investere

Torben ser sine foredrag som en mulighed for at udbrede en vigtig bevidsthed til de virksomhedsledere, der har taget plads i salen: ”Mit budskab er: I kommer rigtig, rigtig langt UDEN at investere. Det er simpelthen et spørgsmål om praktik. Det er helt basale indstillinger og administrative konti, der skal tjekkes af på. Derudover handler det om tid hos medarbejderne. Essensen er at bruge den sikkerhed, man allerede har, rigtigt”.

Tag fat i jeres CFO

Erfaringen fra de mange foredrag og oplæg - og fra en lang karriere i it-branchen - er ifølge Torben, at folk derude er dygtige. Tag ikke fejl! Og vi ved, at folk er dygtige. Men som med meget andet i erhvervslivet, så handler det om processer og budgetter. ”Det, som jeg helt tydeligt erfarer, er, at MANGE derude vil gerne gøre det rigtigt. Og faktisk også rent fagligt er i stand til det. Men vi hører typisk to ting: 1, vi er overvældet af opgaver på driften, så vi har ikke tid. Og 2, vi har ganske enkelt ikke penge til det. Dét, jeg så siger til de ledere, som frivilligt tropper op for at lytte til mig, er: Okay, det kan godt være, at der er nogle ting, som er en selvfølge for jer – men det er de bare ikke. It-sikkerhed er alt andet end selvfølgeligt. Jeg ville ønske, at flere ville reagere med at tage fat i deres CFO og få clearet midlerne til et beredskab”, konstaterer han.

”CEO er den første, man vækker…”

At være gearet som organisation til at modstå et cyberangreb handler lige så meget om bevidsthed og beredskab, som det handler om værktøjer og systemer. ”Bevidstheden på topledelsesniveau er nødt til at manifestere sig. Vi skal have et gennembrud”, siger Torben. Forklaringen skal findes i, at de klassiske kommandoveje i en organisation er nødt til at blive sat til side, da de ikke understøtter de nødvendige aktioner ved et cyberangreb. Torben forklarer: ”CEO er den første, man vækker, når der er et ransomware-angreb – MEN sagen er, at it-chefen ikke skal bruge tid på en CEO. Der skal simpelthen foreligge en skriftlig aftale, hvor det fremgår, at it-chefen er bemyndiget til at tage de aktioner, han eller hun finder nødvendige. En it-chef skal IKKE kunne møde nogen form for repressalier bagefter. For når angrebet sker, så er det spørgsmål om sekunder og minutter. For er man tilbageholden, fordi alt skal cleares i toppen, så lukker butikken ganske enkelt. Og der sker omfattende skade på forretning – og mennesker”.

Stands ulykken – udøv livreddende førstehjælp

Torbens erfaring fra sine besøg hos de mange netværk er, at det er meget få, som har sådan et setup på plads. Det samme gælder helt fundamentale beredskabsplaner. ”En beredskabsplan SKAL være til stede i enhver virksomhed. Der SKAL være en aftale med CEO og bestyrelse om, at it-chefen kan gøre, hvad han/hun finder rigtigt. Fuldstændig efter samme instanser som førstehjælp: Stands ulykken – udøv livreddende førstehjælp. Det er meget, meget dyre sekunder, vi snakker om”, konstaterer Torben Christensen.

”Jeg kommer til jer som traumatiseret it-chef…”

Torben understreger, at de basale husholdnings-relaterede tiltag og det livsvigtige beredskab ikke kun handler om forretning. ”Jeg plejer at sige til de meget dygtige og erfarne folk, som frivilligt kommer og lytter til mig: Jeg kommer til jer som traumatiseret it-chef. For jeg har selv været der. Der er en alvorlig menneskelig side af det her. Du SKAL ringe efter nogen – efter hjælp – og sørge for, at dine it-folk ikke knækker. De skal nemlig kunne klare belastningen i lang tid. Det kræver det. Og ja, det ER prisen værd”, siger han og fortsætter: ”Jeg har været vidne til meget dygtige og rare mennesker, som aldrig er kommet tilbage på arbejdsmarkedet efter et cyberangreb. Det kan være utrolig voldsomt. Og dét er en vigtig del af den bevidsthed, vi skal have op på topledelsesniveau. Man skan SLET ikke forestille sig det pres, man er i – det er hér, at CFO’en og it-chefen skal være i samme båd ”, slutter Torben Christensen.

Beretninger fra den virkelige verden

Uden produkter og dyre firewalls under armen er Torben blevet en (endnu mere) travl og efterspurgt herre. Hans mange fortællinger og erfaringer fra den del af virkeligheden er i høj kurs. Naturligvis fordi det er en virkelighed, man som leder, ejer og bestyrelsesmedlem ikke ønsker at opleve. Eksemplets magt er som bekendt stærkt, og derfor kan en anekdote med hold i virkeligheden til enhver tid slå en løftet pegefinger og en teknisk faktaboks med en gul tilbudsseddel oppe i hjørnet. Og Torben har rygsækken fuld af anekdoter og tørre konstateringer.