Siden 2013 har den britiske regering undersøgt de 350 største virksomheder i Storbritannien for at finde ud af, hvordan de håndterer deres cyberrisici. Dette års rapport har vist, at disse virksomheder nu er mere bevidste om vigtigheden af god cybersikkerhed, men advarer om, at de skal forbedre sig i et langt hurtigere tempo, hvis de skal være på forkant med fremtidige cybersikkerhedsudfordringer.
Nedenfor ser vi på nogle af de vigtigste resultater fra dette års rapport og diskuterer, hvad det kan betyde for fremtiden for cybersikkerhed, overholdelse og databeskyttelse.
Uddannelse i cybersikkerhed er et problem for FTSE 350-virksomheder
Den mest overraskende kendsgerning i rapporten er nok, at 68 % af virksomhederne ikke har modtaget nogen uddannelse i håndtering af cyberhændelser. På trods af at over en fjerdedel (26 %) har modtaget en vis uddannelse i hændelsesrespons, er det foruroligende lavt 2 %, der rapporterer, at de har modtaget omfattende uddannelse i hændelsesrespons fra deres bestyrelse.
Rapporten viste også, at mere end en fjerdedel af bestyrelserne ikke har nogen defineret rolle i en virksomhedsdækkende reaktion på en cyberhændelse. Det er ganske enkelt ikke godt nok i moderne virksomheder i dag. Beskyttelse af vigtige informationsaktiver er af afgørende betydning på tværs af alle forretningsfunktioner i dag.
Bestyrelsesmedlemmer bør forvalte risici på tværs af deres organisationer ved at trække på støtte fra den øverste ledelse, gennemføre bedste praksis for risikostyring og dyrke en risikovillig kultur. Ved at gøre dette vil virksomhederne ikke blot beskytte deres værdifulde aktiver, men også opnå strategiske og operationelle fordele.
GDPR - stadig et problem for store virksomheder
Rapporten har vist, at bestyrelserne kun lejlighedsvis overvejer GDPR på deres møder. Dette er en stor grund til bekymring, da uret tikker tættere på implementeringen af GDPR den 25. maj 2018. Hvis man specifikt ser på bestyrelsesniveauets håndtering af GDPR, sagde den største andel af respondenterne, at spørgsmålet er blevet drøftet, men ikke var et fast punkt på dagsordenen (42 %). Dette indikerer, at der i det mindste er en generel bevidsthed om GDPR, men når det kombineres med rapportens resultat, at kun 13 % af respondenterne sagde, at GDPR regelmæssigt blev overvejet af deres bestyrelse, er dette bekymrende.
Virksomhederne burde allerede nu være godt i gang med at færdiggøre deres GDPR-plan. Rapporten viser imidlertid, at dette langt fra er tilfældet, og der er en chance for, at der vil opstå panik i FTSE 350-virksomhederne i de kommende måneder med hensyn til at gennemføre en plan for håndtering af GDPR.
Gode nyheder
På trods af disse advarsler er der grund til at glæde sig over betænkningen. Der er sket en bemærkelsesværdig stigning i bestyrelsernes forståelse og bevidsthed om de potentielle konsekvenser, der kan opstå som følge af tab af eller afbrydelser i vigtige informations- eller dataaktiver. Dette er steget fra 49 % i 2015/16 til 57 % i dette års rapport.
Med hensyn til den information, som bestyrelserne modtager om cybersikkerhed, viser dette års rapport, at 31 % modtager omfattende og informativ ledelsesinformation om cybertrusler. I betragtning af at dette er steget fra 21 % året før, var dette en stor kilde til positivitet.
Afslutningsvis kan man roligt sige, at dette års FTSE 350 Cyber Governance Health Check Report er en blandet fornøjelse. Der er en markant forbedring inden for nogle områder, mens andre, som f.eks. uddannelse og indførelsen af GDPR, fortsat er overset.
Hvis du ønsker at læse hele rapporten, kan du gøre det her.
Hvad syntes du om dette års rapport, var der noget, der gav dig anledning til stor bekymring? Var der noget, der virkede særligt overraskende på Dem?
