1. Har styrelsen minst en säkerhetsexpert?
Vissa företag har redan en säkerhetsexpert i styrelsen, men William Guenther på Advanced Cyber Security Center menar att det bara är ett första steg på vägen mot en säkerhetsmedveten styrelse. En styrelse med hög grad av säkerhetstänk bör ha mer än en ledamot med bakgrund inom it-säkerhet. Som exempel kan nämnas att General Motors i sin styrelse har två tungviktare som tidigare arbetat på Lockheed Martin respektive Lucen Technologies.
2. Ställer styrelsen bra frågor?
Enligt säkerhetskonsulten Michael Figueroa förväntar sig ingen att styrelseledamöter ska veta hur man konfigurerar en brandvägg. Det är däremot viktigt att de inte bara kan ta till sig information från en it-säkerhetschef utan också kan ställa kritiska frågor.
– Ännu bättre är det om styrelsen kan ställa frågor som företagsledningen inte ens har tänkt på, säger William Guenther.
3. Vilken position har du som it-säkerhetschef i förhållande till styrelsen?
Enligt William Guenther kan du till exempel undersöka om styrelsen måste ta upp it-säkerhetsfrågor med en cfo eller annan mellanhand, eller om den kommunicera direkt med dig. Kan du ha direktkontakt med styrelsen även om du normalt rapporterar till företagets cio eller vd?
4. Gör styrelsen regelbundna och detaljerade riskbedömningar?
– Säkerhetsmedvetna styrelser kan identifiera och kategorisera företagets mest värdefulla datatillgångar och vidta åtgärder för att skydda dessa. De kan dock inte skydda allt och måste ofta fatta beslut om vilken risknivå de ska acceptera. De måste också ha rutiner på plats för att dokumentera alla riskbaserade beslut, säger Trip Hillman på it-konsultbolaget Weaver.
Han menar också att det är viktigt att dokumentera denna kunskap, så att man kan gå tillbaka och analysera de beslut som tagits vid en eventuell incident.
5. Har styrelsen arbetsgrupper med säkerhetsfokus?
Många styrelser har olika arbetsgrupper som inriktar sig på specifika områden som till exempel riskhantering och revision. Enligt MIchael Figueroa finns det säkerhetsaspekter att ta hänsyn till även inom dessa områden och därför bör företagets it-säkerhetschef vara med i informationsloopen. De mest säkerhetsmedvetna styrelserna har också en särskilt arbetsgrupp för it-säkerhet, även om det är sällsynt.
6. Hur ofta får du som it-säkerhetschef träffa styrelsen?
I vissa företag får it-säkerhetschefen bara träffa styrelsen en gång per år. Det är inte tillräckligt med tanke på de snabbt växlande hotbilder som omger dagens företag.
– Det brukar sluta med att it-säkerhetschef:n försöker klämma in 50 powerpoints som ingen orkar ta till sig. Styrelsen bör i stället träffa it-säkerhetschef:n för uppdateringar flera gånger om året, säger William Guenther.
7. Får styrelsen ta del av it- och it-säkerhetsbudgeten samtidigt?
It-säkerhetsbudgeten måste ses som en del av den övergripande it-budgeten och som it-säkerhetschef måste du få presentera den tillsammans med cio:n. William Guenther påpekar att om styrelsen bara ser säkerheten som en kostnad, går den miste om möjligheter att förbättra verksamhetens övergripande säkerhet.
8. Integrerar styrelsen säkerhetsfrågorna i alla överläggningar?
Styrelser fattar viktiga strategiska beslut och om de är säkerhetsmedvetna väger de in säkerhetsfrågorna i alla dessa beslut. När företagets cio lägger fram digitalisetingsförslag bör du som it-säkerhetschef medverka i presentationen. Även när någon från företagsledningen presenterar någon typ av plan bör säkerhetsaspekten vägas in.
9. Får styrelsen säkerhetsutbildning?
Oavsett hur kompetent styrelsen är finns det alltid ett värde i regelbunden säkerhetsutbildning för styrelseledamöter. Det hjälper dem att vara förberedda på snabba förändringar i form av allt från pandemier till distansarbete och flaskhalsar i leveranskedjan – sådant som ofta bidrar till nya säkerhetsutmaningar. Enligt Trip Hillman är det viktigt att den här typen av utbildningar arrangeras av en utomstående expert med ett brett perspektiv.
10. Utövar styrelsen en sund it-hygien i sin egen kommunikation?
– En säkerhetsmedveten styrelse hanterar sin interna kommunikation på ett säkert sätt, säger Trip Hillman.
Kommunicerar styrelsen över privata kanaler? Är känsliga dokument krypterade? Används säkra metoder för videokonferenser och annat samarbete? Använder sig styrelsen av samma förebyggande säkerhetsåtgärder som övriga i företaget?
11. Använder styrelsen nyckeltal för att mäta verksamhetens säkerhetsberedskap?
Företag genomför rutinmässigt alla typer av säkerhetskontroller i form av penetrationstester, sårbarhetsanalyser och liknande. Presenteras resultaten av dessa till styrelsen och används de som riktmärken för att utvärdera säkerhetsberedskapen över tid?
12. Gör styrelsen medvetna insatser för att främja it-säkerhetskulturen i företaget?
Har företaget interna utbildningar med inriktning på it-säkerhet? Är styrelsen pådrivande i att it-säkerhet ska vara en del av alla processer i företaget?
13. Bidrar styrelsen till öppet informationsutbyte inom företaget?
En styrelse sätter inte bara sin prägel på verksamheten genom dess sätt att arbeta utan också genom den kultur som formas i dess anda. Hur agerar styrelsen till exempel om företaget utsätts för ett intrång? Letar man efter en syndabock eller ger man någon i uppdrag att samla in objektiva fakta, så att man kan avgöra vad som gått fel och vidta de åtgärder som krävs för att förhindra ytterligare incidenter? Kan du som it-säkerhetschef komma till styrelsen och leverera dåliga nyheter utan rädsla för att bli ignorerad eller straffad? Kan du kommunicera informellt med styrelsen vid behov, utanför de schemalagda mötena?
Säkerhetsmedvetna styrelser har en väl fungerande relation med företagets it-säkerhetschef.