I de næsten 30 år jeg har været selvstændig og ejer af 2 virksomheder, begge med professionelle bestyrelser, har IT-sikkerhed ikke været et fast punkt på bestyrelsesmøderne.
Men de seneste års succesrige angreb på såvel store som mindre virksomheder, og i nogle tilfælde med milliardtab som konsekvens, har det fået såvel topledelsens som bestyrelsens opmærksom.
Så jeg er sikker på at hvis ikke din bestyrelse har det som fast punkt på dagsordenen, så vil det komme inden for kort tid.
Har bestyrelser kompetencer indenfor it-sikkerhed?
Næppe, -de fleste bestyrelser er vant til at se på tal og drøfte strategier, men de har ingen ekspertise indenfor IT-sikkerhed
De kan vel bare spørge i IT?
Helt sikkert, -bortset fra at IT-sikkerhed ikke altid er den interne it-afdelings styrke. Dernæst skal man for at kunne spørge og forstå svaret, også selv være kvalificeret. Mange bestyrelsesmedlemmer har forstand på økonomi, strategi og ledelse, men har ikke den store tekniske sikkerheds forståelse.
Hvad er udfordringen?
Vellykkede hacker angreb, kan koste livet for en virksomhed ligesom dårlig økonomi, og det er derfor en bestyrelses pligt, at have det som en fast agenda til bestyrelsesmøder.
Hvad er næste skridt?
Er du er enig i at it-sikkerhed nu er en fast del af bestyrelses agendaen, på samme måde som budgetopfølgning, strategi med mere?
ja så skal der en it sikkerheds kyndig person ind i bestyrelsen, som forstår og kender virksomheden og dens risikoappetit.
Man kan også vælge og oprette et “advisory board”, helst som en uvildig part, som i konkrete tilfælde kan rådgive bestyrelsen.