Sikkerhet er en suksessfaktor for moderne virksomheter — slik kommer du i gang!

Sikkerhet som del av operasjons- og forretningsmodellen

Sikkerhet har tradisjonelt i mange virksomheter blitt håndtert av Compliance- og/eller IT-avdelingen, primært med fokus på å etterleve anerkjente sikkerhetsstandarder. For flere og flere virksomheter er den tiden nå forbi: Sikkerhetshensyn har blitt noe «alle» må forholde seg til. Særlig virksomheter som understøtter viktige samfunnsfunksjoner, eksempelvis innen energi, matproduksjon- og forsyning, telekom eller bank, finans og forsikring, berøres av dette. Sikkerhetshensyn spiller i slike virksomheter nå en sentral rolle i vurderinger av hvilke produkter og tjenester som lages, hvordan sentrale styringsprosesser utformes, samt hvordan operasjonsmodellen designes for å sikre kontroll over egne ressurser og egen infrastruktur.

Trenger din virksomhet hjelp med å lage en sikkerhetsstrategi? Ta kontakt med våre fageksperter her!

For å lykkes med sikkerhetsarbeidet er det avgjørende å lykkes med å balansere sikkerhetshensyn og forretningshensyn. Selv om økt sikkerhet reduserer risikoen for angrep og uønskede hendelser, er ikke “jo sikrere, jo bedre” riktig vei å gå. Langt fra alle sikkerhetsforbedringer gir en hensiktsmessig kost/nytte-verdi. Derfor er det helt sentralt å vurdere kostnad i forhold til den sikkerhetsmessige effekten, både knyttet til realisering av sikkerhetstiltak og knyttet til hva som er den reelle verdien av å gjøre grundigere risikovurderinger. Å finne den riktige balansen mellom disse tingene er en forutsetning for å unngå å bli akterutseilt eller eksponert for betydelige risikoer.

Manglende sikkerhet koster

Konsekvensene av sikkerhetsbrudd kan være store, for den enkelte virksomhet såvel som for samfunnet. Konsekvensene består både av direkte kostnader som påløper i forbindelse med håndtering av angrepet, og indirekte kostnader som kan være vanskeligere å måle, men like reelle. Eksempler på slike indirekte kostnader kan være inntektstap mens angrepet pågår, tap av kundegrunnlag som følge av svekket omdømme eller bøter som må betales fordi sikkerhetsnivået har vært for lavt forut for sikkerhetshendelsen.

Et eksempel på et selskap som har fått erfare hva konsekvensene av sikkerhetshendelser kan være er TOMRA. Da TOMRA i 2023 ble utsatt for et cyberangrep, ble kun de direkte kostnadene av angrepet vurdert å være 120 MNOK. De indirekte kostnadene vites ikke eksakt, men gitt uttalelser fra økonomidirektør i TOMRA i november 2023 kan det se ut til at disse var på flere titalls millioner, blant annet drevet av inntektstap knyttet til pantemaskiner som ikke fungerte.

Kostnadene ved denne typen sikkerhetshendelser innebærer at gevinstene ved å ha en gjennomtenkt tilnærming til sikkerhetsarbeid kan være betydelige. Det finnes en rekke eksempler på virksomheter som har vært utsatt for angrep fra ondsinnede aktører, både i privat og offentlig sektor, og med et høyt trusselnivå bør virksomheter i dag ha dette høyt på agendaen.

Sikkerhet som konkurransefortrinn

Det er imidlertid ikke kun redusert sannsynlighet for å bli utsatt for sikkerhetshendelser som bør få virksomheter til å sette fokus på sikkerhet. Virksomheter med høyt fokus på dette vil kunne tiltrekke seg både kunder og dyktige ansatte som verdsetter sikkerhet i sine valg. Det finnes mye forskning som setter tall på hvor store disse effektene er. Harvard Business Review viser i en nylig utgitt artikkel til en rekke studier av denne effekten. Blant annet vises det til en studie av 1 785 bedrifter der hovedfunnet er at høy sikkerhet er forbundet med en 13% økning av inntektene og en studie som finner at selskaper med høyest sikkerhet oppnår bedre lønnsomhet enn andre selskaper.

Hvordan komme i gang?

I Bekk har vi erfaring med å jobbe med sikkerhet knyttet til samfunnskritisk, nasjonal infrastruktur både på et overordnet strategisk nivå, og på et mer operasjonelt teknisk nivå. Skal man komme i gang med sikkerhetsarbeidet, og lykkes med det over tid, er vår erfaring at følgende hjelper virksomheter godt på vei:

• Skaff en oversikt over de viktigste verdiene din virksomhet forvalter og ikke minst de viktigste risikoene knyttet til disse verdiene
• Vurder hvilken risiko som skal aksepteres
• Husk at ingen risiko blir lik null
• Plasser ansvaret for å sikre samsyn og struktur hos noen — det er sentralt at man ikke undervurderer behovet for dette for å lykkes med å foreta riktige prioriteringer
• Balanser sikkerhet og forretning. Sikkerhet må tas alvorlig, men må samtidig ses i forhold til hensynet til effektiv og lønnsom drift.

Basert på våre erfaringer har vi utviklet egne rammeverk og metodikk som kan hjelpe din virksomhet å komme i gang med sikkerhetsarbeidet og integrere sikkerhetshensyn i forretnings- og operasjonsmodellen.

Dersom du er interessert i å lære mer om hvordan Bekk Management Consulting jobber med sikkerhet, ikke nøl med å ta kontakt med Oscar Hafstad på oscar.hafstad@bekk.no eller på hei@bekk.no. Denne bloggposten er skrevet av Oscar Hafstad og Kristoffer Winther.

Kilder:

https://hbr.org/2024/09/safety-should-be-a-performance-driver

https://www.tomra.com/en/news-and-media/news/2023/tomras-swift-response-paves-the-way-for-normalization-after-cyberattack

https://www.nrk.no/kultur/xl/pa-innsiden-av-et-dataangrep-1.16631261