Varför chefer är viktiga för cybersäkerhet

By Phil Muncaster • 10 september 2024 • 6 minuters läsning

Chefer spelar en unik roll i sin organisation – att lösa problem, hantera risker och gränssnittet mellan högre ledning och vanliga anställda. Det är chefer som förvandlar strategi till operativ framgång genom att övervaka, motivera och leda sina team. Och det är chefer som också ger kritisk insikt uppåt i kommandokedjan om något inte fungerar. Så det borde vara oroande att en nyligen genomförd studie av Chartered Management Institute (CMI) hittade den stora majoriteten (85 %) av brittiska chefer är oroliga för att eskalera cyberhotnivåer.

Som tur är kan chefer också vara en del av lösningen – genom att hjälpa till att bygga en cybermedveten kultur i sin organisation.

Storbritannien är inte säkert genom design

Secure by design anses i allt högre grad vara ett strategiskt krav i offentliga och privata organisationer. I själva verket är det ett tillvägagångssätt som förespråkas på regeringens hjärta och på liknande sätt främjas av GDPR-tillsynsmyndigheter. På hög nivå innebär det att säkerställa att varje affärsverksamhet med ett IT- eller digitalt inslag har riskbaserad cybersäkerhet inbakad från början. Men det krävs vanligtvis stora kulturella förändringar och ökad medvetenhet inom organisationen för att få det att fungera.

För närvarande verkar Storbritannien vara långt ifrån att vara designmässigt säkert. Regeringens Cyber Security Breach Survey 2024 belyser många utmaningar, förutom det faktum att 50 % av företagen (upp till 70 % av medelstora och 74 % av stora företag) har drabbats av ett intrång under de senaste 12 månaderna. Viktiga brister som den avslöjar inkluderar:

Mindre än en tredjedel (31 %) av företagen gjorde cyberriskbedömningar under det senaste året. Och bara en tredjedel (33 %) använde säkerhetsövervakning
Endast 11 % av företagen granskar risker i leveranskedjan
Bara 30 % av företagen har styrelseledamöter som är direkt ansvariga för cyber som en del av sin roll, en siffra oförändrad i ett år
Endast 58 % av de medelstora företagen och 66 % av de stora företagen har en formell cybersäkerhetsstrategi på plats
Bara en femtedel (22 %) av företagen har planer för incidenthantering
Endast 41 % av företagen söker information eller vägledning om cybersäkerhet utanför organisationen, en minskning från 2023 siffror (49 %)
Endast en av 10 känner till National Cyber Security Centres 10 steg vägledning (13%) och Cyber Essentials (12%)
Bara 18 % av företagen tillhandahåller personalutbildning

Mot denna bakgrund är det kanske inte förvånande att brittiska chefer är oroade över cyberhot. När allt kommer omkring verkar deras organisationer dåligt förberedda för att hantera den eskalerande cyberrisken. Även om det är uppmuntrande att 79 % säger sig ha deltagit i cybersäkerhetsutbildning eller medvetenhetsprogram under det senaste året, säger bara tre femtedelar (59 %) att deras arbetsgivare erbjuder regelbunden cybersäkerhetsutbildning för alla anställda.

Nyckeln till en mer säkrare medveten organisation

Ändå kan chefer spela en avgörande roll för att få saker tillbaka på rätt spår, säger Ian Campbell, senior säkerhetsingenjör på DomainTools.

"Den dagliga tonen och prioriteringarna sätts av ledningen, liksom delegering och bemyndigande. Dessa erbjuder alla stora kulturella och tekniska möjligheter för att säkra organisationen”, säger han till ISMS.online. “C-Suite och chefer sätter tonen; ledningen utför på det på marknivå. Det positionerar ledningen för att direkt och omedelbart påverka frontlinjens säkerhetskultur."

Som auktoritetspersoner kan chefer också ha en betydande psykologisk påverkan på anställda, vilket kan bidra till att bygga en cybermedveten kultur inom organisationer, argumenterar Oz Alashe, VD och grundare av CybSafe.

"Lederare har en auktoritetsposition inom organisationen, vilket spelar in i auktoritetsbias - en psykologisk princip där människor är mer benägna att följa vägledningen från någon som de uppfattar som en auktoritetsfigur", säger han till ISMS.online.

"När chefer prioriterar och modellerar bra cybersäkerhetspraxis är det mer sannolikt att anställda följer efter."

Det borde därför vara oroande att även om chefers medvetenhet om cybersäkerhet blir bättre – med 93 % som säger sig ha en ”medellång” eller ”avancerad” förståelse för onlinesäkerhetspraxis – anser 80 % att deras digitala färdigheter fortfarande behöver förbättras.

Föregå med gott exempel

Så, vad kan organisationer göra för att ge sina chefer möjlighet att driva en säker-by-design-kultur? Det första steget verkar ganska självklart: se till att dessa chefer är tillräckligt utbildade. De bör förstå cyberrelaterade koncept och bästa praxis som medvetenhet om social ingenjörskonst, behovet av starka lösenord och multi-factor authentication (MFA) och vikten av patchning. De bör också ha resurser, verktyg, policyer och processer till sitt förfogande för att sprida medvetenhet och främja bästa praxis.

En del av detta handlar om att föregå med gott exempel, enligt Alashe.

– Chefer har en unik position att påverka beteendet, inte bara genom direkt instruktion utan också genom sina egna handlingar. När chefer visar bra säkerhetsbeteende – som att rapportera misstänkta nätfiske-e-postmeddelanden – sätter de en standard som andra borde vilja följa”, förklarar han.

"Dessutom kan chefer utnyttja sociala bevis – där människor ser till beteendet hos dem runt omkring dem för att vägleda sina egna handlingar. Genom att skapa en miljö där efterlevnad av säkerhetspolicyer är normen och synligt praktiserad, kan chefer hjälpa till att skapa en kultur där säkert beteende är standard snarare än undantag.”

DomainTools Campbell håller med och hävdar att chefer bör försöka skapa en "kultur av förtroende och förfrågning" där personal uppmuntras att rapportera misstänkta händelser och beröms för att de gör det oavsett det slutliga resultatet.

"Att kombinera det med incitament att gå igenom säkerhetspratet snarare än att bara predika medvetenhet som ett extra, ofinansierat mandat kommer att skapa ett holistiskt säkerhetsprogram från botten och upp", tillägger han. "Att ge anställda möjlighet att uppmärksamma och ifrågasätta nya händelser är ett stort steg framåt."

Chefer bör också fungera som en "lynchpin" mellan arbetsstyrkan, teknisk support och säkerhetsoperationer, tillägger han.

"De är "supernoden" som kan – och behöver – skicka vidare till TechOps- och SecOps-rapporter om tekniska problem och arbetsflödesfriktion, även när de överför resonemanget för friktionen och hur man bättre kan arbeta inom systemet till sina rapporter. Campbell fortsätter. "Det här kommunikationsundernätverket är särskilt viktigt för att mäta och minska skugg-IT, ett av de största ytarehoten som någon organisation står inför."

Detta är inte en lätt uppgift även med engagerade och dynamiska chefer. Kulturförändringar kan vara utmanande och tar tid. I grund och botten måste det börja med förtroende, vilket innebär att återgå till ledningsgrunderna och bygga och upprätthålla pålitliga relationer med teammedlemmar.

"Hitta rätt personer, stärk dem och bygg utifrån den grunden", avslutar Campbell.

Varför chefer är viktiga för cybersäkerhet

Storbritannien är inte säkert genom design

Nyckeln till en mer säkrare medveten organisation

Föregå med gott exempel

Phil Muncaster

Relaterade artiklar

Styrningsgapet: Varför EU:s AI-lag är det rätta tillfället då styrelser inte längre kan behandla efterlevnad som någon annans problem

Varför cybermotståndskraft fortfarande är långt borta för många brittiska företag

IO får 11 utmärkelser i G2 Grid Leader-rapporten för sommaren 2026

Mer från Phil Muncaster

Varför cybermotståndskraft fortfarande är långt borta för många brittiska företag

Kungens tal 2026: Hur nya lagar kommer att påverka cybersäkerhet och efterlevnad

Varför Storbritanniens NIS-uppdatering kan innebära extra arbete för organisationer inom ramen för direktivet