Det senaste året har IT-säkerhetschefers personliga ansvar hamnat i fokus.
En ny global undersökning från IT-företaget Fastly visar att en stor majoritet, 93 procent av arbetsgivarna har ändrat sina regler under 2024 för att hantera den frågan bättre.
41 procent av företagen uppger också att de nu börjat inkludera sina IT-säkerhetschefer i viktiga beslut på styrelsenivå.
2023 aviserades nya regler i USA och Europa som ställer högre krav på hur företag måste hantera och rapporterar IT-säkerhetsproblem. Undersökningen, som omfattar 1 800 IT-beslutsfattare i stora organisationer världen över, visar att dessa skärpta krav har lett till ökad oro för det personliga ansvaret bland IT-säkerhetschefer – något som också har fått deras arbetsgivare att vilja agera. I studien svarar mer än en tredjedel av företagen att de ska förbättra det juridiska skyddet för sin IT-säkerhetspersonal. Därtill har många företag ökat sina budgetar för säkerheten och uppger att de siktar på att förbättra dokumentationen av sitt säkerhetsarbete.
Marshall Erwin, IT-säkerhetschef på Fastly, ser positivt på sådana förändringar, men ställer sig tveksam till om de räcker för att skydda både företagen och deras IT-säkerhetspersonal.
– Det är bra att så många företag nu förändrar sitt sätt att hantera ansvarsfrågor, särskilt när vi kan förvänta oss nya globala IT-störningar under överskådlig tid. Men juridiskt skydd handlar om att skydda företagen från rättsliga risker snarare än att åstadkomma förbättrad säkerhet, säger Marshall Erwin, IT-säkerhetschef på Fastly.
Han menar också att det inte räcker med att teckna bättre försäkringar och uppdatera dokument.
Marshall Erwin, IT-säkerhetschef på Fastly
– Vi behöver se ansvarsfrågan som något som kan förbättra säkerheten i praktiken. För att lyckas med detta behöver vi tydligare regler som skiljer mellan incidenter som inte går att förhindra och de som beror på bristande säkerhetsrutiner.
Otydligt vilka som bär ansvaret
Undersökningen visar att nästan hälften (46 procent) av organisationerna är osäkra på vem som har det yttersta ansvaret för säkerhetsrelaterade IT-incidenter. Bara 36 procent har tydligt definierade roller och ansvarsområden i sina team.
– IT-säkerhetschefer kan och bör inte ta alla beslut själva. Istället är det styrelsen som måste fråga sig om de avsätter tillräckliga resurser för att hantera de säkerhetsrisker som IT-säkerhetschefen har identifierat. Ansvaret ligger därefter hos högsta ledningen, säger Marshall Erwin.
Rapporten drar slutsatsen att branschen måste förbereda sig bättre inför framtida IT-incidenter. Det behövs tydligare riktlinjer som driver på verkliga förbättringar, inte bara uppfyllande av minimikrav. IT-säkerhetschefernas ökade ansvar bör ses som en förbättrad möjlighet att utveckla säkerhetsarbetet långsiktigt i dessa organisationer.
Om undersökningen:
1 800 IT-beslutsfattare från stora organisationer i Amerika, Europa och Asien har deltagit i undersökningen, som genomfördes av Sapio Research i september 2024. Samtliga deltagare har direkt inflytande över cybersäkerhetsfrågor i sina organisationer.
Fullständig rapport finns här.
Om Fastly
Fastly är en ledande global leverantör av edge cloud-plattformar som möjliggör snabba, säkra och pålitliga digitala upplevelser. Med avancerade lösningar för innehållsleverans, cybersäkerhet och realtidsdatahantering hjälper Fastly företag att växa och möta framtidens tekniska utmaningar.
