Så får du koll på IT-riskerna – 8 tips för dig som är CFO

Handen på hjärtat. Hur högt prioriterar du cybersäkerhet? Många CFO:er har digitaliseringen av ekonomifunktionen högst på agendan. Men att skydda företaget mot intrång och säkerställa att verksamheten har robusta och effektiva processer kring IT-säkerhet glöms tyvärr ofta bort i jakten på effektivare processer. Detta trots att en attack kan få förödande finansiella, operativa och förtroendemässiga följder och medföra omfattande skador i miljardbelopp. Meritminds CIO Stefan Henriksson har tipsen som hjälper dig som är CFO att få koll på IT-riskerna.

Sverige är ett av de mest digitaliserade länderna i världen. Enligt analysbyrån Radar investerades 207 miljarder kronor i IT förra året och digitaliseringen utgör den enskilt viktigaste prioriteringen för svenska bolag.

Men den snabba utvecklingen har ett pris. I vår iver att effektivisera glöms säkerhetsarbetet ofta bort. En internationell undersökning från Global Cyber Security visar att Sverige kommer först på 26:e plats i rankningen av de länder som kommit längst när det gäller IT-säkerhet.

IT-risker att hantera

– Även om det inte finns generella krav för verksamheter att skydda sin IT-miljö är
IT-säkerhet inte längre något du kan bortse från, säger Stefan Henriksson.

Pandemin har medfört att kontoren flyttat hem till medarbetarna och nya digitala processer har införts på rekordtid. Detta leder till att nya känsliga – och sårbara – miljöer uppstår.

Företag som inte har robusta och resistenta IT-system samt tillräckligt bra processer och rutiner riskerar att affärskritisk information förfalskas, krypteras eller går förlorad. Du kan även drabbas av attacker från terrorister eller dataintrång som kan resultera i utpressning med krav om pengar eller företagshemlig information.

Om personuppgifter inte hanteras i enlighet med GDPR riskerar du inte bara böter, det kan även orsaka dålig publicitet om personuppgifter läcker ut. Lyder ditt företag under Finansinspektionen riskerar du dessutom sanktioner eller att tillståndet att bedriva verksamhet dras in.

Stora värden på spel

IT-säkerhet och affären är i praktiken samma sak. De förväntade vinsterna med digitalisering är tydliga, men många företagsledningar glömmer att kalkylera hur digitala risker påverkar affären när de ska fatta strategiska beslut.

Faktum är att ju mer beroende vi blir av digitala verktyg desto större värden står på spel. Mellan 20 och 40 miljoner kronor uppskattar experter att den genomsnittliga kostnaden är för det företag som drabbas av en lyckad cyberattack. Hur mycket en attack verkligen kostar beror på företag och bransch.

– Ett byggbolag med fem anställda riskerar inte dessa summor, men ett större bolag har i sin tur ingen digital risk som skulle kosta så lite som 20 miljoner kronor, säger Freddie Rinderud, senior rådgivare på Radar i en intervju till Dustins kundtidning.

Globala satsningar ökar

Enligt PwC:s nya rapport ”Global Digital Trust Insights 2021” som bygger på svar från 3 249 företagsledare inom IT över hela världen ökar de globala satsningarna på IT-säkerhet och många företag förbereder sig för nya hotbilder.

– Vi ser en tydlig trend där IT-säkerhet börjar ta en självklar plats inom både företagsledningar och bolagsstyrelser. I Sverige, liksom över hela världen, har vi sett många exempel på hur cyberangrepp kan orsaka stor operationell och finansiell skada på verksamheten. Cyberangreppen kommer från alla håll, genom olika metoder och drabbar i princip alla branscher, säger Anders Carlsson, Cyber Security, PwC.

Vad kan du som är CFO göra för att stärka företagets cybersäkerhet?

Här är några tips från Stefan Henriksson, CIO på Meritmind, som du kan ha nytta av i ditt säkerhetsarbete på ekonomifunktionen:

1. Plocka de lågt hängande frukterna. Det finns idag ett antal mindre avancerade och påkostade säkerhetsinställningar som minskar risken betydligt. Det bästa exemplet är multifaktorautentisering (MFA). Sök upp din CIO eller IT-chef och ta reda på status. Det finns inga rimliga ursäkter för att sakna MFA idag.
2. Skapa en säker kultur i hela bolaget. IT-säkerhet är inte bara en teknisk fråga. Om dina medarbetare släpper in främlingar i porten, klickar på länkar i email eller för över pengar till vd via desperata meddelanden från suspekta mailadresser drabbas man oavsett. Utbilda, testa och repetera, rikta insatser där svagheter upptäcks.
3. Framtidssäkra ditt team. Har du rätt kompetenser på plats, även för morgondagens utmaningar? Här kan du läsa hur Kommunalförbundet VafabMiljö löste detta genom att slå ihop ekonomifunktionen med IT.
4. Jobba systematiskt med IT-säkerhet. Säkerställ att du följer branschpraxis och vidtar korrekta skyddsåtgärder. Då får du inte bara bättre koll på vilka åtgärder du behöver sätta in för att skydda digitala och affärskritiska tillgångar, du ökar även företagets motståndskraft för virusintrång.
5. Testa och utvärdera din säkerhet under kontrollerade former. Om du inte testar vet du inte heller vad som bör förändras. Hur sköter ni exempelvis arbetet utan tillgång till internet, till din filserver eller till din dator. Att fundera på det först när det hänt kostar tid och pengar och skapar kaos. Dra nytta av att det finns många duktiga hackare som inte vill begå brott. Det finns många seriösa företag som samlar sådana personer och erbjuder företag tjänsten att bli utsatt för angrepp under kontrollerade former. Det kallas ofta ”bug bounty”.
6. Se över din informationsklassning. Ofta skyddas inte företagshemlig information tillräckligt. Se över och skärp behörighetskontrollerna så minskar risken för kapning och olika typer av attacker.
7. Glöm inte lösenorden, men tänk på ett nytt sätt. Periodiska byten av lösenord och komplexa, långa lösenord tillhör det förflutna. Det säkra alternativet är biometrisk login och MFA. I praktiken väljer många att skriva upp komplexa lösenord på lappar eller undvika att låsa datorn när de lämnar den, det är naivt att blunda för det.
8. Bygga själv eller köpa in? De största aktörerna på marknaden har en klart större förmåga och kapacitet att investera i säkerhet, tänk på att dra nytta av den i stället för att försöka hålla samma takt med hjälp av egna muskler. Givetvis viktigt att inte glömma att kravställa säkerhet hos externa IT-leverantörer, men kravställ intern IT på samma sätt.

Står du inför ett digitaliseringsprojekt? Vi hjälper dig gärna med en genomlysning av din verksamhet som säkerställer att du har alla bitar på plats – även säkerheten!

⇒ https://meritmind.se/forandringsledning/verksamhetsanalys/