Så stärker vd:n bolaget mot cyberhot: ”Allt kretsar kring tillit”

– Oavsett om det handlar om e-handel eller cybersäkerhet så kretsar allt kring samma sak: tillit. Cybersäkerhet handlar inte bara om teknik utan om förtroende, både internt och externt, säger han.

Lyft cybersäkerheten till ledningsnivå

Hos många bolag ligger säkerhetsfrågorna fortfarande på IT-avdelningen. Något som bör ses som en varningsflagga, menar Mattias Danielsson.

– Det här är inte en teknisk fråga utan en strategisk riskfråga. Precis som man hanterar finansiella eller juridiska risker måste man som vd ta ansvar för cybersäkerheten, säger han.

Han rekommenderar att ledningsgruppen eller styrelsen tar in extern experthjälp minst en gång per år för att få en uppdaterad bild av hotläget och den egna beredskapen.

– Man behöver inte vara teknisk expert, men man måste förstå vad som står på spel och kunna ställa rätt frågor.

Skapa en kultur där misstag får diskuteras

De flesta cyberattacker börjar inte med ett avancerat dataintrång, utan med ett mänskligt misstag. Någon klickar på en länk i ett mejl, laddar upp en fil till fel plats eller lämnar ut sina inloggningsuppgifter till någon som låtsas vara en kollega. Därför är det viktigt att också se cybersäkerhet som ett beteende- och kulturarbete.

– Om människor är rädda för att erkänna misstag blir problemen värre. Därför måste man ha en kultur där det är tillåtet att ställa dumma frågor och prata om vad som gått fel, säger Mattias Danielsson.

Här måste vd:n sätta tonen. En straffande kultur riskerar att fördröja viktiga insatser. Om en medarbetare till exempel råkar klicka på en skadlig länk men inte vågar säga något, kan timmar eller dagar gå innan någon upptäcker intrånget. Då är skadan ofta redan skedd.

– Det är helt avgörande att man får upp problemen snabbt. Ju tidigare du vet, desto större chans har du att begränsa konsekvenserna, säger Mattias Danielsson.

På Yubico tillämpar man dessutom det som kallas ”zero trust” – en princip som blivit allt vanligare i säkerhetsarbetet. Den bygger på antagandet att fel och misstag alltid kommer att ske, och att system därför måste vara designade så att de tål dem.

– Det är bättre att bygga strukturer som står pall för mänskliga fel än att hoppas på att alla agerar perfekt. Det gäller både tekniken och organisationen, säger Mattias Danielsson.

Målet är att minska beroendet av enskilda individer. Ingen ska sitta på nyckeln till hela systemet, och inga säkerhetsrutiner ska falla bara för att någon glömmer ett lösenord eller klickar på fel mejl.

Ta höjd för affärsrisker och juridiska sanktioner

Konsekvenserna av ett intrång kan bli kännbara både ekonomiskt, juridiskt och förtroendemässigt. Ett cyberangrepp kan slå ut hela verksamheten under flera dagar, orsaka kundflykt eller skapa långvariga skador på varumärket.

– Brott mot GDPR kan ge böter på upp till fyra procent av koncernens intäkter. Men den största risken är affärsmässig – att kunder tappar förtroendet och att verksamheten stannar, säger Mattias Danielsson.

Han betonar att även mindre företag måste kunna visa att de vidtagit rimliga säkerhetsåtgärder, särskilt när de samarbetar med större kunder eller offentliga aktörer. I praktiken betyder det att vd: behöver ha en tydlig ansvarsfördelning, dokumenterade rutiner och en plan för hur en attack ska hanteras.

– Har man inte tänkt igenom vem som gör vad när det händer något, är risken stor att man agerar i panik. Det leder ofta till större skada än själva intrånget, säger han.

Gör säkerhet till en del av affärsstrategin

Ett sätt att tänka är att se cybersäkerhet som en form av affärsförsäkring. En investering i skydd, rutiner och utbildning kostar – men är liten i jämförelse med vad ett avbrott i verksamheten eller en rättslig process kan innebära.

Cybersäkerhet kan alltså vara en stor konkurrensfördel. Allt fler kunder, samarbetspartners och investerare värderar idag säkerhet som en del av ett företags trovärdighet.

– Det finns mycket att vinna på att bygga in säkerhet i företagets erbjudande. Om dina kunder vet att deras uppgifter, pengar eller affärsprocesser är trygga hos dig, väljer de dig före någon annan, säger Mattias Danielsson.