Det är inte en fråga om, utan när, ett företag utsätts för en cyberattack. Antalet attacker som uppmärksammas i media är sannolikt bara toppen av ett isberg. 2023 Data Breach Report från Idtheftcenter konstaterar t.ex att antalet attacker ökat med 72 procent - jämfört med rekordåret 2021.
Men trots alla varningar kvarstår en stor utmaning för CISOs att få ledningsgrupper att förstå behovet av investeringar i cybersäkerhet i allmänhet och utbildning i synnerhet. I en rapport från Trend Micro uppger 79 procent av över 1600 tillfrågade CISOs att de kännt sig tvingade att tona ner allvaret i cyberattacker. Tydligen beroende på att företagens säkerhetsansvariga betraktas som tjatiga (43%) och (42%) alltför negativa!
Förutom att det är under all kritik att som ledning för ett företag “skjuta budbäraren” så finns det samtidigt mycket för säkerhetsexperter att lära sig när det gäller att övertyga ledningen. Det räcker inte med statistik och excel-dokument. Den CISO som vill nå fram med sitt budskap måste helt enkelt bygga upp en kommuniktionsstrategi som kombinerar affärsrisk med faktiska case och en övertygande berättelse. Först då kommer ledningen att se på utbildning i cybersäkerhet som en kritisk investering istället för någonting för “den som vill”.
Här är sju steg-för-steg som fungerar bättre:
1. Börja med affärsrisk och affärsnytta
Istället för att börja med att fokusera på hot och risker (och uppfattas som “negativ”) bör utbildning i cybersäkerhet lyftas fram som en en investering för ökad affärsnytta. Det här pratar Andreas Hegna från vår samarbetspartner Tagore om i ett avsnitt av Junglemap Podcast. Den CISO som inleder sin argumentation med att kombinera affärsnyttan, med affärsrisken om ingenting görs, kommer att nå fram till sin styrelse och ledning på ett helt annat sätt.
2. Använd verkliga exempel
Istället för att bara leverera övergripande statistik är det bättre att först ge konkreta exempel på vad andra jämförbara organisationer drabbats av. Det finns som bekant mängder av exempel på hur bristande förståelse för cybersäkerhet bland de anställda lett till dataintrång med katastrofala följder. Oavsett om det drabbar detaljhandel, logistikföretag, kommuner eller ideella organisationer som t.ex Svenska kyrkan.
3. Bygg under med data
Fortfarande är det så att många ledningar helt felaktigt betraktar cybersäkerheten som “något som IT ansvarar för”. Men den mänskliga faktorn i cybersäkerheten är helt central – och det går enkelt att bygga under med robusta data. Ett exempel är Verizons 2024 Data Breach Investigations Report som pekar på att så mycket som 68 procent av alla intrång bland annat beror på den mänskliga faktorn.
4. Hänvisa till regulatoriska krav
Med NIS2 direktivet runt hörnet borde det vara öppet mål när det gäller att få ledningar att förstå det nödvändiga i att genomföra utbildningar i cybersäkerhet. Men för att det inte skall stanna vid ett “compliance-kryss i en ruta” krävs mer. Inte minst att ledningsgruppen och styrelsen själv genomgår den typ av utbildning som NIS2-direktivet stipulerar.
5. Lyft fram konkurrensfördelarna
Funkar inte IT-stödet, funkar inte verksamheten. Så ser verkligheten ut för alla organisationer idag. Den som kan visa upp en robust cybersäkerhet har därför en stor konkurrensfördel gentemot konkurrenter i olika typer av upphandlingar och affärer. Detta är ren affärsnytta, och ett argument som varje företagsledning garanterat lyssnar till.
6. Landa i ROI för utbildningen
Även en styrelse eller ledning som är övertygad om värdet av utbildning i cybersäkerhet kommer att vara tvungen att sätta den investeringen i relation till andra trängande behov. Därför är det viktigt att landa i ROI även när det gäller utbildning. Och eftersom kostnaderna för dataintrång är så stora, är det egentligen inte svårt att “räkna hem” investeringar i cybersäkerhetsutbildning. Ett exempel att lyfta fram kan vara Ponemon Institute’s 2023 Cost of Data Breach Report, framtagen på uppdrag av IBM, som visar att de organisationer som investerat i en omfattande incidentrapportering sparar i genomsnitt 1,49 miljoner USD jämfört med de som snålat.
7. Vinn kalenderkriget
I dagens högt uppskruvade tempo och slimmade organisationer är det inte sällan som nödvändiga initiativ aldrig blir av därför att ingen har tid. Därför behövs metoder för utbildning som inte tar medarbetare ur produktionen och som inte tar hela konferensdagar i anspråk. Och som dessutom gör så att alla kommer ihåg vad de lärt sig.
Metoder som fungerar
Vi på Junglemap använder NanoLearning som metod. Det bygger på lärandet som en process och inte som en enskilt event. Varje lektion är max 3 minuter, fokuserar på en sak i taget och distribueras via vår SaaS-plattform ut direkt till målgruppen. Alltid med nollmätningar och utvärderingar som gör att vi kan garantera mätbara effekter.
Vi har dessutom precis lanserat en kurs i Digital säkerhet för styrelse och ledning som steg för steg går igenom det som organisationens ledning behöver veta och kunna för att leva upp till kraven i NIS2 och DORA-direktiven.
Jag är alldeles övertygad om att den CISO som genom en enkel och fungerande kommunikation har fått sin styrelse och ledning att förstå behovet av utbildning i cybersäkerhet för alla anställda kommer inte ha några större problem att som en naturlig uppföljning även få sin ledning att själva gå en kurs i digital säkerhet.
Gustav Berghog
vd Junglemap
