I nutidens digitale tidsalder har rollen som Chief Financial Officer (CFO) udviklet sig ud over det traditionelle ansvar for økonomistyring. CFO'er er nu vigtige strategiske partnere, der spiller en afgørende rolle i at styre deres organisationer gennem kompleksiteten i et hurtigt skiftende forretningslandskab. Et aspekt, der har fået enorm betydning i de senere år, er cybersikkerhed.
Som forvaltere af finansiel risikostyring spiller CFO'er en afgørende rolle for cybersikkerhed. En nylig PwC-undersøgelse viste, at 75% af CFO'erne nu er involveret i at træffe cybersikkerhedsbeslutninger på højt niveau.
I dette blogindlæg undersøger vi, hvorfor CFO'er skal anerkende cyberrisiko som en økonomisk risiko og investere i overensstemmelse hermed for at beskytte organisationens økonomiske sundhed og cybersikkerhed.
Behandling af cybersikkerhed som en forretningsrisiko
Cybersikkerhedstrusler skal ikke blot ses som IT-problemer, men som forretningsrisici, der kan påvirke en virksomheds bundlinje betydeligt. Investering i cybersikkerhed kan virke som en betydelig udgift, men det er vigtigt at overveje de potentielle omkostninger ved ikke at investere. Med en gennemsnitlig omkostning ved databrud på 4,45 millioner dollars, en stigning på 15% over 3 år, er investeringsafkastet for robuste cybersikkerhedsforanstaltninger indlysende.
De reelle omkostninger ved cyberkriminalitet
Databrud er blevet en almindelig overskrift i de senere år og påvirker organisationer i alle størrelser og brancher. Omkostningerne ved et databrud rækker ud over IT-udgifter til advokatsalærer, bøder fra myndighederne og tab af kundernes tillid.
Regulatorisk overholdelse
Reglerne for databeskyttelse og cybersikkerhed bliver stadig strengere. Den generelle forordning om databeskyttelse (GDPR) har indført strenge krav til databeskyttelse med store bøder for manglende overholdelse. Den amerikanske teknologigigant Meta blev idømt en bøde på 1,3 milliarder dollars i maj 2023, efter at en irsk domstol havde afgjort, at virksomheden havde overtrådt GDPR-lovene i forbindelse med dataoverførsler mellem EU og USA. Hvis de ikke gør det, kan det få alvorlige konsekvenser for virksomhedens finansielle stabilitet.
Indvirkning på aktionærernes værdi
En cybersikkerhedshændelse kan føre til et betydeligt fald i aktiekurserne og udhule aktionærernes tillid og værdi. Ifølge en undersøgelse fra 2021 foretaget af Comparitech oplevede virksomheder, der blev udsat for databrud, at deres aktiekurser faldt med gennemsnitligt 7,27 % i dagene efter bruddet.
Forstyrrelse af forretningen
Cyberangreb, såsom ransomware, kan forstyrre virksomhedens drift i længere perioder. Det er vigtigt at overveje de økonomiske konsekvenser af nedetid, herunder tabt omsætning, genopretningsomkostninger og potentielle bøder for ikke at opfylde kontraktlige forpligtelser. Hackere brød ind i NHS-systemer i England og Wales og forårsagede systemnedbrud og forstyrrelser, der kostede anslået 50 millioner pund, når man medregner tabt produktivitet og nødreparationer.
Et cyberangreb på en Toyota-leverandør i 2022 tvang f.eks. bilproducenten til at stoppe produktionen i en dag, hvilket påvirkede 13.000 biler.
Forhøjede forsikringspræmier
Ny forskning afslører en bekymrende tendens i forsikringsbranchen - nogle forsikringsselskaber gennemfører en svimlende præmieforhøjelse på 200% for organisationer, der er blevet ofre for cyberkriminalitet.
Reputationsskader
Et vellykket databrud kan have varige konsekvenser for en organisations omdømme og potentielt signalere til kunder, leverandører og andre kommercielle partnere, at organisationens risikostyring og informationssikkerhedskontrol kan være utilstrækkelig.
Investering i træning af medarbejdernes sikkerhedsbevidsthed
Ifølge IDC forventes de globale udgifter til sikkerhed at vokse med 8,1 % om året og nå 174,7 milliarder dollars i 2024. Et kritisk aspekt, som CFO'er skal overveje, er træning af medarbejdernes sikkerhedsbevidsthed. Medarbejderne er ofte den første forsvarslinje mod cybertrusler, men de kan også være et svagt led, hvis de ikke er tilstrækkeligt uddannede. Her er grunden til, at CFO'er bør prioritere denne investering:
1. Afhjælpning af insidertrusler: Insidertrusler, hvad enten de er forsætlige eller utilsigtede, kan føre til betydelige økonomiske tab. Medarbejdertræning hjælper med at reducere risikoen for interne brud.
2. Forebyggelse af phishing og social engineering: Ifølge CISCO's 2021 Cybersecurity Threat Trends report sker omkring 90% af alle databrud på grund af phishing-angreb. Træning i cybersikkerhed hjælper medarbejderne med at forstå, hvordan de hurtigt kan reagere på og komme sig efter hændelser, hvilket minimerer indvirkningen på forretningskontinuiteten og den finansielle stabilitet.
3. Øjeblikkelige og langsigtede omkostningsbesparelser: At investere i uddannelse kan virke som en udgift, men det er en omkostningseffektiv måde at forhindre potentielle økonomiske tab forårsaget af sikkerhedshændelser.
4. Overholdelse af lovgivningen: Overholdelse af databeskyttelsesreglerne er afgørende. Veluddannede medarbejdere er mindre tilbøjelige til at misbruge følsomme data, hvilket reducerer risikoen for dyre bøder.
5. Styrkelse af den menneskelige firewall: Medarbejdere, der er sikkerhedsbevidste, bliver en værdifuld del af organisationens forsvar mod cybertrusler og styrker den overordnede sikkerhed.
Opbygning af en cyberrobust kultur
Cybersikkerhed er ikke længere en perifer bekymring for CFO'er; det er et kerneforretningsspørgsmål. Ved at forstå de økonomiske konsekvenser af cyberrisici, investere i effektive cybersikkerhedsforanstaltninger og fremme en kultur med cyberrobusthed, kan CFO'er hjælpe med at beskytte deres organisationer i denne digitale tidsalder.
Ved at anerkende vigtigheden af at træne medarbejdernes sikkerhedsbevidsthed som en integreret del af denne strategi, kan CFO'er styrke deres organisations forsvar og beskytte dens økonomiske sundhed i et stadig mere sammenkoblet og sårbart digitalt landskab.