De flesta ledningsgrupper jag möter har någon form av säkerhetsrapport. Mognadspoäng. Gröna och gula fält. En översikt som uppdateras inför varje ledningsmöte.
Den ser ofta bra ut. Strukturerad, lätt att läsa, tydlig om vad som rör sig åt rätt håll. Men när det smäller hjälper den sällan.
För när larmet går 02:14 en fredag är frågan inte vad rapporten visade förra månaden eller vad som står i en checklista. Frågan är:
- Vem bestämmer att vi går ut publikt?
- Vem ringer tillsynsmyndigheten, och hur snabbt måste vi göra det?
- Vad gör vi om leverantören är tyst i sex timmar?
- Vem pratar med media medan juristerna fortfarande gräver i avtalen?
Det står inte i rapporten. Det står ingenstans.
Informerad är inte förberedd
Det finns en bekväm illusion i många ledningsgrupper. Eftersom man får uppdateringar känner man sig informerad. Och eftersom man känner sig informerad antar man att man är redo.
Men information är råvaran för beslut. Den är inte själva beslutet. En ledningsgrupp som bara har sett siffror har aldrig prövats i den situation där siffrorna inte hjälper.
En otestad ledningsgrupp fattar sitt första riktiga incidentbeslut samtidigt som den hanterar sin första riktiga incident. Det är ett dåligt tillfälle att lära sig.
Vad rapporten inte mäter
Ingen mognadsrapport jag har sett har någonsin svarat på dessa frågor.
Beslutsmandat under tidspress. Vem äger beslutet att stänga ner kundgränssnittet? VD, IT-chef eller säkerhetsansvarig? Och om den personen inte svarar inom femton minuter, vem tar det då?
Extern kommunikation. Vad är vårt första pressmeddelande, och vem skriver det? På vilket språk publicerar vi om kunder finns i flera länder? Vem är talesperson om VD är på flyget?
Regulatorisk anmälan. Cybersäkerhetslagen ger 24 timmar för en första rapportering till MCF. GDPR ger 72 timmar för anmälan till IMY vid personuppgiftsincident. Vem håller koll på vilka klockor som tickar parallellt?
Leverantörsberoende i kris. När en kritisk leverantör är källan till incidenten, vem tar kontakten? Vem ställer rätt frågor? Vem fattar beslut om vi ska byta leverantör mitt under pågående incident?
Det är frågor som inte besvaras genom att läsa fler rapporter. De besvaras genom att lösas under övning.
En skarp övning, två timmar
Förslaget är enkelt. Byt ut en av årets statusdragningar mot en skarp övning.
Två timmar i ett rum. Hela ledningsgruppen, inte bara IT-chefen och säkerhetsansvarig. Ett scenario som speglar verksamhetens verkliga riskbild. En extern facilitator som driver tempot, släpper in nya händelser och inte låter rummet trampa runt.
Klockan tickar. Beslut måste fattas innan all information finns. Mediafrågor kommer in. Tillsynsmyndigheten ringer. En kund läcker till en journalist. Styrelseordföranden vill ha en uppdatering. Allt parallellt.
Det är där man upptäcker vad som faktiskt fungerar och vad som bara såg bra ut på papper.
Vad övningen lär er som rapporten inte gör
Var beslutskedjan brister. I rapporten ser ansvarsfördelningen logisk ut. I övningen märks det när två personer tror att den andre fattar beslutet, eller när ingen vill ta det.
Hur kommunikationen fungerar under press. Det går snabbt att se vem som blir ordknapp, vem som börjar improvisera, vem som inte vågar fatta beslut utan att först ringa två personer.
Var de oövade rollerna sitter. Juristen som aldrig pratat med en tillsynsmyndighet. HR-chefen som inte vet om medarbetarinformation kräver fackligt samråd. Kommunikationschefen som upptäcker att hen inte har en tonalitet förberedd för en cyberkris.
Hur långa beslutsvägar verkligen är. På papperet kan en eskalering ta tio minuter. I praktiken visar det sig att det tar fyrtio, för att rätt person sitter i ett möte och ingen vågar avbryta.
Inget av det syns i en mognadspoäng. Allt blir tydligt på två timmar.
Det är ledningens ansvar att öva, inte bara att läsa
Cybersäkerhetslagen ställer krav på att ledningsorganet tar aktivt ansvar för cybersäkerhetsarbetet och genomgår utbildning. För privata aktörer kan bristande efterlevnad få personliga konsekvenser. Tillsynsmyndigheten kan till exempel ansöka om förbud för en person att utöva sin ledningsroll.
Att gå en utbildning räcker inte. Att läsa en rapport räcker inte. Det som visar att ledningen faktiskt kan agera är när den har gjort det, även om det var i en övning.
Det här gäller inte bara verksamheter som omfattas av lagen. Lagen skyddar inte din verksamhet, och en ledningsgrupp som har övat fattar bättre beslut även när inget regelverk tvingar fram dem.
Hur ni faktiskt kommer igång
Det krävs ingen stor apparat. Tre saker räcker.
Ett realistiskt scenario. Inte ett ransomware-scenario hämtat från en lärobok, utan något som speglar er verksamhet. Är ni en kommun? Då är scenariot kanske ett driftavbrott i ekonomisystemet en lönedag. Är ni ett industribolag? Då är det kanske ett intrång hos en kritisk leverantör som påverkar produktionen.
Hela ledningsgruppen i rummet. VD, CFO, kommunikationschef, HR-chef, jurist. Säkerhetschefen och IT-chefen räcker inte. De som ska fatta beslut den dagen det händer ska också sitta vid bordet under övningen.
En facilitator som vågar pressa. Den som driver övningen ska inte vara en intern kollega som vill att alla ska se bra ut. Den ska kunna släppa in obekväma frågor, ifrågasätta antaganden och hålla tempot uppe även när rummet vill ta en paus för att tänka.
Två timmar. En gång per år. Det är minimum.
Som vi konstaterade i Säkerhet som inte kommuniceras är säkerhet som inte finns: det räcker inte att budskapet sänds. Mottagaren ska kunna agera på det. Övningen är beviset på att hen kan.
När övade din ledningsgrupp senast?
Om svaret är “vi har en uppdaterad krisplan”, räknas det inte. Att ha en plan och att ha övat på en plan är två olika saker.
Om svaret är “vi gick igenom det på en workshop förra året”, räknas det knappt. En workshop testar förståelsen, inte beslutsförmågan.
Om svaret är “vi har aldrig gjort det”, är det inte ett misslyckande. Det är en startpunkt. Den enklaste och mest värdefulla förbättring en ledningsgrupp kan göra för sin cybersäkerhet är att boka in den första övningen.
Innan larmet går 02:14 nästa fredag.
Behöver ni stöd med att utforma en skarp ledningsövning som speglar er verkliga riskbild? Kontakta oss för en kostnadsfri genomgång.
Fler insikter
Relaterade artiklar
Compliance-kostnaden är inte en teknikfråga. Det är en styrningsskuld.
Europeiska företag lägger ~150 miljarder euro på regelefterlevnad varje år. AI snabbar inte upp det om styrningen saknas.
Säkerhet som inte kommuniceras är säkerhet som inte finns
Rätt riskbild räcker inte om ledningen inte kan agera på den. Så når du beslut uppåt och beteende nedåt.