Mind the Gap: Stäng den gäspande klyftan mellan verkställande tankar och handlingar

Av Phil Muncaster • 30 November 2023

Människor säger inte alltid vad de menar. Och även om de gör det, stämmer inte alltid deras handlingar med vad de säger. Detta är särskilt ett problem för ledande befattningshavare i samband med cybersäkerhetspolitik. Som ny forskning avslöjar finns det en "uppförandeklyfta" i toppen av många organisationer, vilket hotar att undergräva security-by-design-kulturen och utsätta företaget för överdriven cyberrisk.

Organisationer måste bygga en kultur som inte tolererar "exekutiv exceptionalism". Men det kommer att kräva en förändring i beteendet från C-suiten och potentiellt även IT-säkerhetsledarskapet.

Hur illa är det?

Ocuco-landskapet Rapport från Ivanti sammanställdes från intervjuer med över 6500 verkställande ledare, cybersäkerhetsproffs och kontorsanställda i globala organisationer. Det avslöjar en slående skillnad mellan vad företagsledare säger och vad de gör. Å ena sidan säger de flesta att:

• De stöder åtminstone måttligt, eller har investerat i, företags cybersäkerhet (96 %)
• De tillhandahåller obligatorisk säkerhetsutbildning (78 %)
• De är beredda att känna igen och rapportera hot som skadlig programvara och nätfiske (88 %)

Men å andra sidan ägnar sig många respondenter åt ett överdrivet riskabelt beteende, som:

• Begäran om att kringgå en eller flera säkerhetsåtgärder under det senaste året (49 %)
• Använda lösenord som är lätta att komma ihåg (77 %)
• Klicka på nätfiske-länkar (35 %)
• Använda standardlösenord för jobbapplikationer (24 %)

Vissa av dessa fynd är ännu mer skarpa när de ställs upp mot vanliga anställdas beteende. Till exempel säger bara 14 % att de använder standardlösenord. Execs är också tre gånger mer benägna att dela arbetsenheter med obehöriga användare, hävdar rapporten.

Senior ledare verkar också ha ett besvärande förhållande till cybersäkerhet. När de stöter på säkerhetsproblem som påverkar dem personligen är de:

• Dubbelt så stor sannolikhet än vanliga anställda att säga att deras tidigare interaktioner med säkerheten var "obekväma"
• Fyra gånger mer sannolikt att använda extern, ej godkänd teknisk support
• 33 % större sannolikhet att "inte känna sig säker" rapporterar säkerhetsmisstag som att klicka på en nätfiske-länk

"Det kan finnas en frånkoppling eller kommunikationsgap mellan företagsledarskap och IT-säkerhet. Det beror på att de har olika prioriteringar, och därför är det inte troligt att CXO:er prioriterar och förstår säkerhet på samma sätt som IT-säkerhetsteam, säger Ivanti EVP, Helen Masters, till ISMS.online.

Varför beter sig CXO:er så illa?

Det finns flera teorier om varför detta beteendeklyfta har vuxit så stort de senaste åren. Chefer är vanligtvis under extrem tidspress, vilket kan göra dem mer benägna att göra säkerhetsmisstag, söka lösningar och kringgå officiella kanaler. En känsla av exceptionalism kan ytterligare förstärka detta.

"I slutändan, i ett försök att uppnå produktivitet, underskattar CXO:er effekten av sina handlingar och hur genvägar bidrar till säkerhetsbrister," hävdar Masters.

Säkerhetschefer kan också delvis skyllas på grund av en kombination av utbrändhet, "bara-den här en gång-ism" och en svag säkerhetskultur som gör att de känner sig obekväma att trycka tillbaka, hävdar rapporten.

Vad är effekten?

Oavsett orsakerna kan effekterna av dåliga säkerhetsrutiner vara betydande. Hotaktörer vet att chefer ofta utövar dålig cyberhygien. De vet också att C-suiten har tillgång till mycket känslig och intäktsbar information, inklusive affärshemligheter och konfidentiell information om företagets strategi. Varför bry sig om att rikta in sig på anställda längre ner i näringskedjan och lägga tid och ansträngning på att höja privilegier om du kan få allt från en enda nätfiskeattack?

Kompromiss med e-post för företag är ett annat kritiskt hot som ofta riktas mot C-suiten. Under de senaste åren har ledande befattningshavare gång på gång lurats att ge grönt ljus för stora penningöverföringar till hotaktörer som utger sig för att vara partners och chefer.

Bygga bättre säkerhet uppifrån och ner

Att täppa till uppförandegapet kommer inte att vara lätt – ingenting som kräver förändringar i företagskulturen är det någonsin. Men det är uppnåeligt när det bygger på solid grund. Det här kunde innebära att implementera ett ledningssystem för informationssäkerhet (ISMS). Detta kommer att tillhandahålla policyer, procedurer och andra kontroller kring människor, processer och teknik för att hålla informationstillgångar säkra. Det inkluderar säkerhetsmedvetenhet och utbildning, som skulle kunna anpassas för chefer.

En nyckelaspekt av detta är att utveckla en kultur där chefer inte känner att de kan böja reglerna för att passa deras egna krav. Det kommer delvis att kräva att säkerhetsledare bygger förtroende med dessa chefer baserat på stöd, utbildning och råd snarare än fördömande, bestraffning och skam.

"Samarbete med IT- och säkerhetsteam är nyckeln, tillsammans med att främja en kultur där säkerhet inte ses som ett hinder. Detta tillvägagångssätt kommer att hjälpa organisationer uppnå ISO 27001 eller SOC2-efterlevnad mer effektivt”, hävdar Masters.

IT-ledare kan hjälpa till att driva denna kulturella förändring genom att visa att de är villiga att lyssna på sina slutanvändare.

"Ett tillvägagångssätt innebär att minska de vanliga källorna till frustration som ofta är kopplade till robusta cybersäkerhetsåtgärder, som överdrivna och frekventa lösenordsförfrågningar," fortsätter Masters.

"Genom riskbaserad intelligens kan organisationer koncentrera sig på de mest betydande hoten, medan automatiserad sanering snabbt löser problem innan de påverkar användarproduktiviteten. Detta tillvägagångssätt säkerställer att säkerhetsåtgärder inte orsakar onödiga störningar, som annars skulle kunna få chefer och alla anställda att ta till osäkra metoder."

Rapporten har en praktisk checklista som hjälper IT- och säkerhetsledare att få igång sina ansträngningar:

• Genomföra en internrevision säkerhet/chefsinteraktioner för att förstå omfattningen av uppförandegapet
• Åtgärda de enklaste riskerna först, kanske uppdatera och dokumentera åtkomstpolicyer och acceptabla användningspolicyer, samt distribuera kontroller som körs tyst i bakgrunden. Nyckeln är att undvika direkt konflikt med ledarskap där det är möjligt
• Överväg gamifierade säkerhetsutbildningar och bordsövningar med hjälp av fallstudier i verkligheten, så att chefer kan förstå effekterna av dålig cyberhygien
• Implementera ett "vit handske"-säkerhetsprogram för chefer utformat för att bygga upp förtroende och minska hindren för att rapportera säkerhetsproblem

Tidsfattiga chefer kommer alltid att göra misstag. Men med ett större fokus på att öka medvetenheten, tillsammans med mindre påträngande säkerhet, finns det mycket organisationer kan göra för att minimera risken för störningar.

Phil Muncaster

Phil Muncaster har varit IT-journalist i 20 år. Han började som reporter på företags-IT-titeln IT Week 2005 och gick vidare till rollen som nyhetsredaktör innan han lämnade för att göra en frilanskarriär. Sedan dess har Phil skrivit för titlar som The Register, där han arbetade som Asienkorrespondent medan han var baserad i Hong Kong i över två år, MIT Technology Review, SC Magazine, Infosecurity Magazine och andra.

Läs mer från Phil Muncaster

Cybersäkerhet 9 April 2026

Minsta motståndets väg: Varför djupgående försvar är det bästa svaret på molnhot

Hotaktörer är påhittiga. När de upptäcker att en viss väg är blockerad ger de inte upp. Istället söker de helt enkelt ...

Phil Muncaster

Cybersäkerhet 2 April 2026

Cyberhot i en tid av ökade spänningar i Mellanöstern, vad brittiska IT-chefer kan förvänta sig, banner

Cyberhot i en tid av ökade spänningar i Mellanöstern: Vad brittiska ITSO:er kan förvänta sig

I värsta fall blir det inte mycket värre än att hela företaget raderar alla anslutna enheter. Ändå är det den verklighet som amerikanska medicinteknikföretag...

Phil Muncaster

Cybersäkerhet 17 mars 2026

NCSC vill att kritisk infrastruktur ska "agera nu": Vad innebär det?

Storbritanniens leverantörer av kritisk nationell infrastruktur (CNI) är på vakt. National Cyber Security Centre (NCSC) har ökat sin retorik...

Phil Muncaster

Mind the Gap: Stäng den gäspande klyftan mellan verkställande tankar och handlingar

Hur illa är det?

Varför beter sig CXO:er så illa?

Vad är effekten?

Bygga bättre säkerhet uppifrån och ner

Phil Muncaster

Relaterade artiklar

Kontinuerlig kontroll på ett enkelt sätt: Intune och Entra nu i IO

ISMS.online Platform Update: Nya verktyg för att förbättra din efterlevnad av informationssäkerhet

En milstolpe värd att fira: 45,000 XNUMX aktiva användare litar på ISMS.online

Läs mer från Phil Muncaster

Minsta motståndets väg: Varför djupgående försvar är det bästa svaret på molnhot

Cyberhot i en tid av ökade spänningar i Mellanöstern: Vad brittiska ITSO:er kan förvänta sig

NCSC vill att kritisk infrastruktur ska "agera nu": Vad innebär det?