Magnus Attefall
Hem / MarTech-bloggen / Cybersäkerhet och risk / Styrning och ägarskap av cyberrisk: Vem ansvarar i din organisation?

Styrning och ägarskap av cyberrisk: Vem ansvarar i din organisation?

Cyberrisk kräver tydligt ägarskap – styrning avgör vem som beslutar och tar ansvar.

Prefer English? → Read it here
Cybersäkerhet, NIS2 och affärsresiliens för ledning med fokus på riskhantering och styrning

Vad det innebär för din organisation

  • Cyberrisk kräver tydligt ägarskap på ledningsnivå
  • Styrning handlar om hur beslut fattas, inte bara vad som kontrolleras
  • Utan ägarskap blir riskhantering fragmenterad och ineffektiv

Sammanfattning: Tydligt ägarskap och fungerande styrning är det som avgör om cyberrisk hanteras proaktivt eller upptäcks först när skadan redan är skedd.

Problemet: Alla ansvarar – alltså ingen

I många organisationer är cyberrisk spridd över flera funktioner. Det är sällan resultatet av en medveten strategi. Snarare har ansvaret vuxit fram organiskt, funktion för funktion, i takt med att digitaliseringen har ökat. Varje funktion har gjort rimliga val utifrån sitt eget perspektiv, men ingen har haft det samlade ansvaret att se till att helheten faktiskt hänger ihop.

  • IT hanterar säkerhet
  • verksamheten driver affären
  • ledningen följer upp resultat

Men när det gäller ansvar blir det otydligt. Var och en agerar utifrån sitt eget perspektiv. IT ser tekniska sårbarheter. Verksamheten ser affärsmöjligheter. Ledningen ser nyckeltal. Ingen ser helheten, och därför är det också svårt att peka ut vem som faktiskt äger risken när något går fel.

Resultatet:

  • långsamma beslut
  • svagt ansvarstagande
  • risk som inte hanteras

Det här mönstret är särskilt vanligt i organisationer som har vuxit snabbt, eller som har byggt sin IT-miljö över lång tid utan att samtidigt uppdatera styrmodellen. Strukturen hänger inte med i komplexiteten.

Ett vanligt scenario: en säkerhetsincident upptäcks en fredag eftermiddag. IT identifierar problemet och börjar utreda. Men vem beslutar om kunder ska informeras? Vem avgör om ett system ska stängas ner, även om det innebär produktionsbortfall? Vem pratar med media om frågan blir extern? I de flesta organisationer finns inget givet svar, och då går värdefull tid förlorad just när snabbhet betyder mest.

Varför ägarskap är avgörande

Cyberrisk är inte statisk. Den förändras i takt med ny teknik, nya leverantörer, nya hot och nya sätt att arbeta. Det som var en acceptabel risknivå förra året kan vara oacceptabel idag.

Det kräver:

  • löpande prioritering
  • avvägningar
  • beslut i osäkerhet

Den typen av löpande beslutsfattande kräver en person eller funktion som har mandat att agera, inte bara att rapportera. Utan det mandatet blir riskhanteringen reaktiv: man agerar efter en incident, sällan före.

Tänk på riskhantering som ett pågående underhåll snarare än ett projekt med ett slutdatum. Ett projekt har en ägare under sin livstid och avslutas sedan. Cyberrisk avslutas aldrig, vilket gör att ägarskapet måste vara lika varaktigt som risken själv. Det är skillnaden mellan att hantera en brand och att underhålla brandsäkerheten kontinuerligt.

Utan tydligt ägarskap

  • eskaleras inte risker
  • följs inte åtgärder upp
  • urholkas ansvaret

Med tiden blir avsaknaden av ägarskap ett kulturellt problem snarare än ett tekniskt. Medarbetare lär sig att ingen egentligen reagerar på risksignaler, och då slutar de också att rapportera dem.

Ägarskap skapar

  • tydlighet
  • ansvar
  • handling

Vad styrning egentligen innebär

Styrning handlar inte om policydokument. Många organisationer förväxlar styrning med dokumentation: en policy som ligger på intranätet, en riskmatris som uppdateras en gång om året. Det är inte styrning. Det är arkivering. Riktig styrning är levande, den används och testas kontinuerligt, inte bara vid revisionstillfället.

Det handlar om

  • hur beslut fattas
  • vem som har mandat
  • hur ansvar säkerställs

Verklig styrning syns i hur organisationen agerar när en risk uppstår mellan ett möte och nästa. Hur snabbt kan ett beslut fattas? Vem behöver tillfrågas? Vem kan säga ja utan att vänta på nästa ledningsgruppsmöte?

Det är också skillnaden mellan styrning som finns på papper och styrning som faktiskt fungerar i vardagen. En policy som ingen följer är värdelös, oavsett hur väl skriven den är. Effektiv styrning testas inte vid revisionen, utan i det vardagliga beslutsfattandet, ofta under tidspress och med ofullständig information.

Bra styrning skapar

  • samordning mellan funktioner
  • tydliga beslutsstrukturer
  • konsekvent riskhantering

Var ansvaret ska ligga

Cyberrisk kan inte ligga enbart hos IT.

Det måste förankras i ledningen.

Ansvaret behöver inte vara enhetligt, men det måste vara tydligt fördelat. Tre roller bär olika delar av samma uppgift, och problem uppstår nästan alltid när någon av dem antar att en annan täcker upp för dem. Att tydligt skriva ner vem som gör vad, även om det känns självklart internt, förebygger missförstånd när trycket är som högst.

Ledning

Ledningens roll är inte att förstå varje teknisk detalj. Den är att sätta riktningen och stå bakom de avvägningar som krävs. Om ledningen abdikerar från den rollen, fylls vakuumet av vem som helst som råkar vara närmast när en kris uppstår, vilket sällan är optimalt.

Ansvarar för:

  • riskaptit
  • prioriteringar
  • avvägningar

IT / Säkerhet

IT och säkerhetsfunktionen omsätter ledningens prioriteringar i praktik. Utan ett tydligt mandat från ledningen tvingas de ofta fatta avvägningar som egentligen är affärsbeslut, till exempel hur mycket driftstörning som är acceptabel för att täppa till en sårbarhet. Det är en orimlig position att försätta en teknisk funktion i.

Ansvarar för:

  • teknisk implementering
  • övervakning och kontroller
  • operativ hantering

Verksamhet

Verksamheten vet bäst vilken påverkan ett avbrott eller en incident faktiskt skulle få. Den kunskapen behöver komma in i riskbedömningen, inte bara finnas hos IT. En sårbarhet i ett system som hanterar kritisk kunddata väger helt enkelt tyngre än samma sårbarhet i ett internt testsystem, men det är bara verksamheten som vet vilket som är vilket.

Ansvarar för:

  • att förstå påverkan
  • äga processer
  • arbeta enligt prioriteringar

Utan samordning fungerar inte styrningen.

Glappet: Verktyg utan ägarskap

Många organisationer gör rätt saker på papperet. De investerar, implementerar och dokumenterar. Ändå uppstår ett glapp mellan aktivitet och faktisk riskreduktion. Glappet är sällan synligt i en rapport eller på en dashboard. Det syns först när en risk som “borde” ha täckts av ett verktyg eller en policy ändå realiseras, och ingen riktigt kan förklara varför.

Många organisationer

  • investerar i säkerhetsverktyg
  • implementerar ramverk
  • tar fram policys

Men saknar

  • tydligt ägarskap
  • strukturerad styrning
  • beslutsförmåga

Verktygen genererar larm och rapporter, men ingen har mandatet att agera på dem konsekvent. Ramverket beskriver vad som bör göras, men ingen äger genomförandet. Policyn finns, men efterlevs inte i praktiken.

Det här glappet är kostsamt på flera sätt. Det skapar en falsk trygghetskänsla, eftersom investeringarna ser ut att täcka riskerna på papperet. Samtidigt binder det upp budget i verktyg som aldrig används till sin fulla potential, eftersom ingen driver det löpande arbetet som krävs för att de ska göra nytta. I praktiken betalar organisationen två gånger: en gång för verktyget, och en gång i form av den risk som ändå kvarstår.

Resultatet blir aktivitet utan riktning.

Vad effektiv styrning kräver

Fyra byggstenar brukar skilja organisationer som faktiskt har kontroll över sin cyberrisk från de som bara tror att de har det.

1. Tydligt ägarskap

Ägarskap ska kunna beskrivas i en mening, inte i ett organisationsschema. Om svaret kräver flera funktioner och ett “det beror på”, är ägarskapet inte tillräckligt tydligt. En enkel testfråga: kan du namnge personen som äger cyberrisken i din organisation, utan att tveka? Om inte, finns det troligen inget verkligt ägarskap.

Definiera

  • vem som äger cyberrisk
  • vem som fattar beslut
  • vem som är ansvarig

2. Klara beslutsstrukturer

När en risk eller en incident uppstår ska det redan vara klart vem som beslutar vad. Att fastställa det i efterhand kostar tid som organisationen sällan har. Beslutsstrukturer behöver inte vara komplicerade. De behöver bara vara kända i förväg, av alla som kan komma att behöva använda dem.

Bestäm

  • hur beslut fattas
  • eskaleringsvägar
  • mandat

3. Integrering i verksamheten

Cyberrisk som hanteras separat från affärsverksamheten blir alltid en eftertanke. Den ska istället vara en del av hur organisationen redan planerar och prioriterar, på samma sätt som ekonomi eller personal är en självklar del av varje strategisk diskussion.

Cyberrisk måste vara en del av

  • strategi
  • planering
  • operativt arbete

4. Samordning mellan funktioner

Samordning är det som binder ihop de tre föregående punkterna. Utan den blir ägarskap, beslutsstrukturer och integrering tre separata initiativ istället för en sammanhängande styrmodell. Det är ofta i gränssnittet mellan funktioner som risker faller mellan stolarna, snarare än inom en enskild funktion.

Säkerställ

  • samsyn mellan IT, verksamhet och ledning
  • gemensam riskförståelse
  • prioriteringar

Tre tecken på att ägarskapet inte fungerar

Innan styrelse och ledning sätter sig ner och bygger om styrmodellen är det värt att stanna upp och fråga sig om problemet faktiskt finns. Tre signaler brukar visa sig tydligt i organisationer där ägarskapet inte fungerar.

  • samma diskussion om ansvar uppstår vid varje incident, om och om igen
  • beslut som borde tas på dagar tar veckor, eftersom rätt person aldrig är tydligt utpekad
  • IT rapporterar risker uppåt, men får sällan tydliga svar eller prioriteringar tillbaka

Känns något av detta igen är det en stark signal om att nästa steg, att bygga tydligt ägarskap och fungerande styrning, inte kan vänta.

Styrelsens och ledningens roll

Styrning börjar högst upp.

Om styrelse och ledning behandlar cyberrisk som en ren IT-fråga, kommer resten av organisationen att göra detsamma. Tonen sätts uppifrån, och den syns i hur frågan prioriteras på dagordningen, hur mycket tid som avsätts och vilka frågor som faktiskt ställs.

Styrelse och ledning måste

  • förstå cyberrisk
  • säkerställa struktur
  • kräva ansvar

Det innebär inte att styrelsen ska bli teknisk expert. Det innebär att den ställer rätt frågor: Vem äger den här risken? Vad händer om den realiseras? Vad krävs för att minska den? De frågorna är desamma som styrelsen redan ställer om ekonomisk risk eller marknadsrisk – cyberrisk förtjänar samma behandling.

Det handlar inte om teknik.

Det handlar om

  • ansvar
  • uppföljning
  • beslut

Vanliga misstag att undvika

Samma mönster återkommer i organisation efter organisation. Att känna igen dem är ofta första steget mot att åtgärda dem, eftersom de sällan är resultatet av ovilja utan snarare av att styrmodellen aldrig har designats medvetet från grunden.

  • att se styrning som dokumentation
  • otydligt ägarskap
  • att separera IT och verksamhet
  • brist på ansvar

Det leder till

  • fragmenterat arbete
  • långsamma beslut
  • okontrollerad risk

De flesta organisationer upptäcker dessa brister först efter en incident. Den som agerar i förväg slipper lära sig läxan på det dyra sättet. Det räcker ofta att gå igenom listan ovan med ledningsgruppen och fråga uppriktigt: stämmer någon av punkterna in på oss?

Från ansvar till ägarskap

Cyberrisk kan inte vara ett diffust ansvar. Skillnaden mellan ansvar och ägarskap är skillnaden mellan att veta att något är viktigt och att faktiskt ha mandatet att göra något åt det.

Det måste ha

  • tydligt ägarskap
  • konkret ansvar
  • strukturerad styrning

Det här är inte en engångsinsats. Det är en förflyttning i hur organisationen tänker kring risk: från att se cyberrisk som någon annans problem till att se den som en integrerad del av ledningens ansvar, lika självklar som ekonomiskt eller juridiskt ansvar redan är.

Det är så organisationer går från: Reaktiva → Kontrollerade

Vad kommer härnäst

Sammantaget handlar det här inte om en enskild åtgärd, utan om att etablera en varaktig struktur: ett tydligt ägarskap, beslutsvägar som alla känner till, och en styrelse och ledning som aktivt efterfrågar svar snarare än att vänta på att bli informerade. Organisationer som gör den förflyttningen tidigt slipper ofta de dyraste lärdomarna.

När styrning och ägarskap är på plats är nästa steg att skapa affärsvärde.
I nästa artikel visar jag hur cybersäkerhet kan bli en konkurrensfördel.

Artikelserie: Cybersäkerhet, risk och resiliens för ledning och organisation


☕ Kaffe eller ett snabbt samtal?

Vill du omvandla strategi till verkligt affärsvärde?

Jag letar just nu efter en ny utmaning där jag kan skapa affärsvärde i skärningspunkten mellan affär, marknad och teknik – från strategi till operativt genomförande.

Skicka ett meddelande på LinkedIn så tar vi det därifrån

→ Söker du en konsult? Besök attefall.digital – MarTech-konsult i Linköping