Danske bestyrelser mangler træning i cybersikkerhed

Danske bestyrelser mangler træning i cybersikkerhed

Hele 9 ud af 10 danske bestyrelsesmedlemmer i mindre og mellemstore virksomheder får ingen træning eller uddannelse i cybersikkerhed, og hvert fjerde bestyrelsesmedlem modtager aldrig eller mindre end én gang om året en risikovurdering om cybersikkerhed

En  undersøgelse som PwC har lavet i samarbejde med Bestyrelsesforeningen, viser at de danske bestyrelser ikke har styr på it-sikkerhed, og det kan gå hen og blive et problem.

Undersøgelsen om cybersikkerhed blandt bestyrelsesmedlemmer i mindre og mellemstore virksomheder viser, at hver fjerde bestyrelsesmedlem modtager en vurdering af cyberrisikoen i virksomheden under en gang om året eller aldrig. Kun 1 ud af 10 bestyrelsesmedlemmer modtager en vurdering mindst én gang i kvartalet.

“I det kommende år kan vi forvente, at trusselsbilledet fortsat bliver mere avanceret, og derfor er det vigtigt, at bestyrelsen løbende forholder sig til de nye cybertrusler og meget gerne mindst én gang i kvartalet, så virksomhedens risikobillede altid er opdateret. Det er afgørende for at sikre et proaktivt beredskab mod cyberangreb,” fortæller Mads Nørgaard Madsen, it-sikkerhedsekspert og partner i PwC.

Ifølge PwC’s Cybercrime Survey 2020 har hele 58 % af danske virksomheder været udsat for minimum én sikkerhedshændelse inden for det seneste år. For at kunne forhindre og modstå et cyberangreb, er det således afgørende, at risikobilledet er opdateret:
“Det er bestyrelsens rolle at føre tilsyn og kontrol med, at en virksomhed implementerer cybersikkerhed i processer og politikker, og derfor er det helt essentielt, at bestyrelsen løbende modtager relevant rapportering om bl.a. trusler, risici og hændelser i relation til cybersikkerhed,” understreger Mads Nørgaard Madsen.

Størstedelen af bestyrelsesmedlemmerne svarer i undersøgelsen, at de kun delvist (46 %) eller slet ikke (15 %) fører kontrol med, at virksomheden har testede beredskabs- og kommunikationsplaner for håndtering af hackerangreb, strømnedbrud mv.

“En cyberhændelse kan desværre få store konsekvenser for såvel virksomhedens økonomi, image og mulighed for at levere et produkt eller service. Det er derfor vores anbefaling, at bestyrelsen modtager risko baseret rapportering fra direktionen, så den kan følge op på de sikkerhedstiltag, der prioriteres og igangsættes og sikre den nødvendige fremdrift,” siger Mads Nørgaard Madsen.

Behov for cybertræning 

Undersøgelsen viser desuden, at 9 ud af 10 bestyrelsesmedlemmer svarer, at der ikke er et cybertrænings- og uddannelsesprogram for bestyrelsen. De øvrige svarer, at der delvist er et sådan program.

“Awareness-træning er essentielt i forhold til at skabe en bedre forståelse for digitale trusler og risici i virksomheden, som kan have større eller mindre konsekvenser for såvel virksomheden, kunder eller borgere. Samtidig giver det bestyrelsen kompetencer til bedre at kunne prioritere de rette sikkerhedstiltag,” slutter Mads Nørgaard Madsen.

Om undersøgelsen

Med opbakning fra Bestyrelsesforeningen har 67 bestyrelsesmedlemmer, primært fra små og mellemstore virksomheder, deltaget i PwC’s Cybercrime Survey 2020. Respondenterne har besvaret en række spørgsmål, der baserer sig på Bestyrelsesforeningens anbefalinger til at styrke af cyber-kompetencer i bestyrelser. I Cybercrime Survey 2020 deltog i alt 326 respondenter fra dansk erhvervsliv i andet halvår af 2020.

- lb