Det er et lederansvar å sørge for at systemer og mennesker er forberedt

I en stadig mer digitalisert økonomi kan én kompromittert brukerkonto true leveranser, omdømme og tillit. Likevel behandles informasjonssikkerhet ofte som en teknisk utfordring som kan delegeres til IT-avdelingen. I realiteten er dette også et leder- og styreansvar.

Norge er blant verdens mest digitaliserte samfunn. Også på Sørlandet er offentlig sektor og næringsliv tett integrert med skyplattformer, globale leverandører og digitale verdikjeder. Det har gitt effektivitet og innovasjon – men også økt sårbarhet.

Digitale angrep brukes i økende grad som virkemiddel i geopolitisk spenning. Det rammer ikke bare stater og kritisk infrastruktur. Også vanlige virksomheter blir mål, inkludert små og mellomstore aktører.

Åpen

Samtidig har angrepsmetodene endret seg. Trusselbildet handler i stadig mindre grad om avanserte tekniske innbrudd, og i økende grad om misbruk av legitim tilgang. Dagens angrep handler sjeldnere om å bryte seg inn i systemer - og oftere om å logge inn som en ansatt. Kunstig intelligens gjør det enklere å automatisere sosial manipulering basert på tillit.

Vi har optimalisert for fart og brukervennlighet: én pålogging til alt, friksjonsfri deling og tette integrasjoner mellom skytjenester. Det er moderne og effektivt. Men det betyr også at én kompromittert konto kan gi tilgang til store deler av virksomhetens informasjon.

Konsekvensene av et alvorlig sikkerhetsbrudd handler ikke bare om teknisk gjenoppretting, men om tap av tillit, svekket leveranseevne, bortfall av kontrakter og juridisk ansvar. Informasjon er blant virksomhetens mest verdifulle eiendeler. Når tilganger eller systemer faller bort, stopper også arbeidet.

Når virksomheter strammer inn med strengere tilgangsstyring, flerfaktorautentisering og begrensninger på deling og bruk av tredjepartsapplikasjoner, oppleves det ofte som en hindring i arbeidshverdagen. Reaksjonen er forståelig. Digital frihet har lenge vært lik effektivitet og fleksibilitet. Ledelsens oppgave er derfor ikke bare å stramme inn, men å forklare hvorfor.

Informasjonssikkerhet bør behandles som forretningsrisiko og rapporteres til styret på linje med andre sentrale risikofaktorer. Dokumentert digital robusthet blir stadig viktigere i anbud og partnerskap.

Informasjonssikkerhet er ikke bare en IT-oppgave. Det er et lederansvar å sørge for at både systemer og mennesker er forberedt på angrep – og at førstelinjeforsvaret vet hvilken rolle de har.