Det senaste årtiondets digitalisering av samhället har skapat många möjligheter för företag och organisationer. Men digitaliseringen i kombination med en snabbt förändrad omvärld har även öppnat upp för nya hot och sårbarheter som kan orsaka mycket allvarlig skada för företag. Varje dag möts vi av rubriker om olika typer av angrepp och incidenter.
Kungliga Vetenskapsakademien (IVA) konstaterar i sin rapport "Cybersäkerhet för ökad konkurrenskraft" (2022) att informations- och cybersäkerhet har blivit en strategisk fråga som påverkar både konkurrenskraften och den långsiktiga överlevnaden för såväl företagen som samhället i stort.
Styrelsens uppgift, ur ett ägarperspektiv, är bland annat att skydda aktieägare från okända och oacceptabla risker och värna om verksamhetens långsiktiga överlevnad. Styrelsen spelar i detta avseende en mycket viktig roll för företagets strategiska informationssäkerhetsarbete. Samtidigt kan det vara svårt att som lekman inom området veta var man ska börja och hur man ska tackla frågan.
Nedan följer en lista med konkreta råd för hur styrelsemedlemmar kan arbeta med informationssäkerhet:
- Utbilda dig inom området på en övergripande nivå så att du kan förstå hotbilden och hålla dig informerad om informationssäkerhetsriskerna. Som styrelsemedlem kan du själv utgöra en attraktiv ingång till företagets information för kriminella eller andra aktörer. Du bör därför även informera dig om hur du kan skydda dig mot denna typ av hot.
- Analysera och förstå potentiella inneboende intressekonflikter som kan finnas mellan olika intressenter i verksamheten. Det kan handla om vilka risker företagsledningen väljer att ta på kort och lång sikt.
- Kräv att verksamheten anlägger ett systematiskt arbetssätt för informationssäkerhetsarbetet samt att företagsledningen kan redovisa de viktigaste riskerna och strategin för att hantera dem. För detta ändamål finns det olika standarder och ramverk som med fördel kan användas.
- Säkerställ att verksamheten genomför och redovisar periodiska och oberoende tester av informationssäkerheten.