Hela denna tematidning är en annons från Mediaplanet
Läs mer på foretagsverige.se
Risk management
SWERMA
Riskhantering i fokus under pandemin ITS Nordic Utvärdera din IT-leverantörs kunskaper.
SamCert IT-säkerheten stärks genom standardisering.
2
DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET
Läs mer på foretagsverige.se
I DETTA NUMMER
LEDARE
05
Risk management under 2020-talet kommer att bli krävande!
IF Digitaliseringen innebär en permanent förändring av spelreglerna för risk management.
PEAK Consult Krishantering är ett ständigt relevant område. En effektiv risk- och krishantering kräver proaktivitet och praktisk träning.
16
I
FOTO : F R ED R I K ER I KS S O N
08
Lars Oxelheim Professor, Institutet för Näringslivsforskning (IFN), Stockholm
SSF SSF har Sveriges bredaste utbildningsutbud och över femtio års erfarenhet av att genomföra utbildningar inom skydd och säkerhet.
Den gränsöverskridande kampen om jobben intensifieras med pandemin
Projektledare: Sakari Koivulehto (sakari.koivulehto@mediaplanet.com Verkställande direktör: Axel Landberg Redaktionschef: Edit Linder Affärsutvecklare: Angelica Grip Designer: Edit Linder Distribution: Dagens Industri, November 2020 Tryckeri: Bold Printing, Stockholm, Bold Printing, Borås, Daily Print, Umeå E-post: redaktionen@mediaplanet.com Omslagsfoto: K-G Z Fougstedt
facebook.com/MediaplanetMarketing @MediaplanetWorld Återvinn gärna tidningen
sitt musikaliska mästerverk ”Imagine” lyfter John Lennon fram sin vision om allt det goda som skulle följa om det inte funnits några länder. I ett företagsperspektiv skulle i världen utan gränser arbetet med risk management vara avsevärt enklare då någon valutarisk inte skulle förekomma och den politiska risken skulle vara kopplad till blott en regims agerande. Innan finanskrisen 2008 var världen på väg att leva upp till Lennons vision. Vi hade en värld av samarbete där gränserna mellan länder blivit till obetydliga hinder för globala ekonomiska och finansiella transaktioner. Vi hade något som kom mycket nära fulländad ekonomisk och finansiell integration där i sistnämnda fall en enhet av risk förväntades kosta lika mycket var helst i världen man befann sig. Men Covid-19 pandemin har nu visat hur lätt det är att på nytt skapa gränshinder och har på ett oroväckande sätt tydliggjort att många länder sätter sin egen agenda främst i något som kan liknas vid ny-merkantilism eller ny-protektionism.
Text Lars Oxelheim
I ett historiskt perspektiv går finanskriser hand i hand med teknologiskiften. Företagen håller tillbaka sina investeringar i väntan på klarhet om vilken teknik som skall bli morgondagens. Centralbankernas försök att med billiga pengar få igång investeringarna blir fruktlösa och resulterar bara i störd prisbildning på i stort sett alla tillgångsslag. I förlängningen leder dessa fruktlösa försök till högre ränta, inflation och/eller skatter, vilket i sin tur kommer
att leda till lägre efterfrågan med behov av färre arbetstimmar. Allt detta kommer i en tid då digitalisering, robotisering och artificiell intelligens redan dramatiskt reducerat behovet av människor i arbete. Varje politiker som vill bli omvald måste visa att hen kan skapa nya arbetstillfällen. Inom den korta tid som vanligtvis ligger till nästa val finns inga snabba lösningar förutom att med skräddarsydda paket av ”morötter” försöka locka till sig företag och arbetstillfällen från andra länder. Kampen har hitintills förts som valutakrig och krig med tariffer, men pandemin har öppnat upp för möjligheten att ”stjäla” jobb med hjälp av statsstöd.
Stängda gränser ger ny och komplicerad riskbild Politikerna i de länder som ser landets arbetstillfällen försvinna utomlands försöker rädda sina chanser till omval genom att stänga gränserna för inkommande arbetskraft som inte matchar inhemsk efterfrågan på sådan. Stängda gränser kommer att rulla tillbaka det mesta som uppnåtts med den ekonomiska och finansiella integrationen. Efter andra världskriget fanns 74 länder. Nu finns det i överkant av 200. I detta scenario med över 200 länder med gränshinder kommer den globala produktionskedjan inte längre att fungera med nya risker som följd. På det finansiella området kommer vi att ha mer än 200 regeringar att beakta i den politiska riskanalysen, mer än 200 valutor att förhålla oss till i analysen av valutarisk, etcetera. 2020-talet kommer att bjuda på en turbulent finansiell scen. Det gäller att förbereda sig på denna utveckling och i tid utveckla ett ändamålsenlig risk management program.
Ransomware - hur skyddar man sig då det råder brist på både resurser och tid? Text Annika Wihlborg
Holistisk riskanalys som hanterar situationen här och nu
dagsläget lider merparten av alla företag brist på tid och resurser. Det är därför inte rätt läge att initiera stora interna certifieringsprogram inom IT-säkerhet, i synnerhet med tanke på att många arbetar hemifrån under Coronapandemin, säger Kenneth Blomqvist, informations-
Cypro skapar en individuell behovsbild för varje företag som baseras på intervjuer, analyser och frågeformulär med kunden om dess kärnverksamhet, men även ur mer tekniska aktiviteter som penetrationstestning och sårbarhetsanalyser som kan ge en hel del ledtrådar. –Oftast bygger sårbarheter i kundens
I
Oftast bygger sårbarheter i kundens miljö på faktorer som teknik, rutiner, kunskap och beteende. miljö på faktorer som teknik, rutiner, kunskap och beteende. Med en holistisk riskanalys kan man ta tag i grundorsakerna och reducera riskerna för en cyberattack. Det förebyggande arbetet består ofta av en kombination av ökad personlig säkerhetsmedvetenhet, säker utveckling, förbättrade IT-processer och katastrofhantering utifrån organisationens aktuella hotbild, säger Kenneth Blomqvist.
FOTO : P R I VAT
säkerhetsspecialist på Cypro, som tillämpar en egenutvecklad metod inom informationssäkerhet. Metoden fokuserar på de specifika områden som gör störst skillnad utifrån kundens riskprofil. Det gör att man kan skydda kunden från potentiella angrepp på ett mer effektivt sätt än tidigare.
Idag har företag varken tid, råd eller resurser att ge sig in i större IT-säkerhetsprogram för att stärka sin säkerhet trots att hotbilden ökar och exponeras alltmer i media. Stora IT-säkerhetsprogram kräver en centralt drivande ledningsgrupp samt fokuserat arbete med en hel del dedikerad personal under en längre tid. Att samtidigt försöka upprätthålla sin normala verksamhet går inte alltid ihop.
Kontakta oss gärna på: info@cypro.se +46 (0) 102 007 744
Kenneth Blomqvist Informationssäkerhetsspecialist Cypro AB
Denna artikel är i samarbete med Cypro AB.
Läs mer på foretagsverige.se
DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET Denna artikel är i samarbete med Safeture.
Allt högre krav på medarbetares säkerhet Sedan Coronapandemin inleddes och det mobila och hembaserade kontoret blev norm har företag ställts inför nya utmaningar vad gäller medarbetarnas säkerhet. När samtliga medarbetare var samlade på kontoret var säkerhetsarbetet relativt okomplicerat, men när de är utspridda krävs helt andra verktyg och ett annat helhetsperspektiv för att kunna trygga samtliga medarbetares säkerhet. Text Annika Wihlborg
Alla verksamheter behöver riktlinjer för medarbetarsäkerhet Den andra starka trenden i Gartners framtidsspaning är location independence, alltså att det inte längre är lika avgörande var medarbetarna befinner sig rent fysiskt för att de ska kunna göra sitt arbete. Den hemarbetstrend som växt fram under Coronapandemin är en utveckling som med stor sannolikhet är här för att stanna. – Gartner förutspår också att ständiga förändringar i ännu högre utsträckning kommer att prägla företagens framtida agenda. Det kräver att de kontinuerligt ser över sin motståndskraft i form av fysisk säkerhet, IT-säkerhet och självklart även medarbetarnas säkerhet. Många
verksamheter saknar i dagsläget en strategi för medarbetarsäkerhet, men så småningom kommer det att utvecklas till ett juridiskt krav, säger Magnus Hultman.
FOTO : F R ED DY B I L LQV I ST
K
ommunikation, positionering och information är de tre fundamenten för en effektiv riskhantering i samband med oförutsedda händelser. Om exempelvis en brand inträffat är det helt avgörande att snabbt kunna identifiera var de befinner sig och var de har befunnit sig. I nästa steg gäller det att på kort tid nå ut med korrekt information till samtliga berörda medarbetare, säger Magnus Hultman, vd på Safeture, som utvecklat en öppen molnbaserad SaaS-plattform som hjälper företag och organisationer att ta ansvar för sina medarbetare, när det oväntade inträffar. Safeture har funnits i mer än tio år och har idag fler än 3500 kunder och organisationer som kunder över hela världen, däribland Siemens och Chubb. Tidigare har tonvikten i säkerhetsdebatten i mångt och mycket legat på IT-säkerhet och fysisk säkerhet. Magnus Hultman är övertygad om att medarbetarnas säkerhet kommer att hamna betydligt mer i fokus framöver. Den framtidsspaningen överensstämmer väl med analysföretaget Gartners trendspaning inför 2021. Enligt Gartner har anställda gått från att motsvara drygt 20 procent till drygt 70 procent av ett företags balansräkning. Medarbetarna är och förblir därmed företagens absolut viktigaste tillgång. Utifrån det perspektivet är det naturligt att medarbetarnas säkerhet utvecklas till en allt mer strategisk fråga.
Om en oförutsedd händelse inträffar så krävs en helhetsbild, annars är risken för felaktiga beslut överhängande. Hög beredskap för oförutsedda händelser Ytterligare en trend är att de externa kontaktpunkterna kontinuerligt ökar på företag. Idag är det inte bara personer i ledande positioner som har många externa kontakter, det gäller även andra typer av medarbetare. Det innebär i sin tur att man beredskapen för oförutsedda händelser behöver förbättras. I februari 2020 lanserade Safeture världens fösta Corona Exposure Tracker, ett verktyg som spårar var medarbetare befinner sig, var de har varit och var de är på väg. Arbetsgivare kan använda verktyget för att förutse om ett Coronautbrott är på gång och därigenom direkt vidta nödvändiga åtgärder som begränsar smittspridningen. – Samhällskriser medför ofta ny lagstiftning, det såg vi inte minst efter finanskrisen och efter Facebookskandalen, då GDPR kom. I efterdyningarna av Coronakrisen kommer förmodligen legala krav på att arbetsgivare effektivt ska kunna positionera och kommunicera med sina medarbetare, både till vardags och i samband med oförutsedda händelser, säger Magnus Hultman. – Om en oförutsedd händelse inträffar så krävs en helhetsbild, annars är risken för felaktiga beslut överhängande och det påverkar den enskilda medarbetaren men också ansvarsutkrävandet av exempelvis säkerhetschefer, travel managers, HR chefer och till syvende och sist vd och styrelse, säger Magnus Hultman.
Magnus Hultman vd, Safeture
3
4
DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET
Läs mer på foretagsverige.se
”Alla företag behöver cyberskydd” FOTO : P R I VAT
Text Howden
I dag hanterar de flesta företag personuppgifter och är beroende av integrerade affärssystem. Många tänker dock inte på vad som kan hända vid intrång eller om ett system slutar att fungera. – En cyberskyddsförsäkring kan rädda hela verksamheten, säger Christina Malmsten, Senior Insurance Broker på Howden Insurance Brokers AB.
C
yberrelaterade incidenter blir allt vanligare och i media syns ofta exempel på hur den initiala hanteringen av
en incident kan påverka ett företags varumärke. Traditionella Ansvarsoch Egendomsförsäkringar omfattar inte nya risker i form av stämningar, kostnader och avbrott som företag idag exponeras för genom malware, Ddosattacker eller bara ett felskickat e-mail.
– En cyberskyddsförsäkring täcker flera risker som inte fanns för tio år sedan. Det är vardagliga risker som alla företag står inför idag. Kort och gott; alla företag behöver cyberskydd. Kontakta oss så hjälper vi dig hitta rätt skydd för ditt företag, säger Christina.
FAKTA
Howden Insurance Brokers är världens största personalägda försäkringsförmedlare med stor erfarenhet inom cyberskydd. Kontakta Christina Malmsten: cmalmsten@howden.se, 0733 57 33 58.
Christina Malmsten, Senior Insurance Broker
LÄS MER PÅ: HOWDEN.SE
Tveka inte att byta partner för att minimera säkerhetsrisker Text Annika Wihlborg
Utvärdera din IT-leverantörs kunskaper. kompetensen kring säkerhetsfrågor brister. Ett sätt att säkerställa en partners kunskap är att se om IT-partnern innehar Microsoft Guldpartner-status, vilket är ett kvitto på partnerns kvalité och kompetens inom detta område. – Vår uppgift som IT-partner är att hjälpa våra kunder att ligga steget före eventuella angripare så att de kan
fokusera på sin kärnverksamhet, säger Hampus Dellenstedt. – Det handlar dels om att välja rätt tjänster som säkerställer att medarbetarna kan fortsätta arbeta säkert och effektivt, oavsett var de befinner sig. Men minst lika viktigt är att dessa tjänster implementeras på ett korrekt sätt samt att underhålla plattformen kontinuerligt. Utvecklingen går enormt snabbt i IT-branschen och det är inte säkert att det som var bra ur säkerhetssynpunkt igår är det bästa sättet att skydda sig från intrång på i framtiden, fortsätter Hampus. Han rekommenderar därför företag att utvärdera sin IT-leverantörs kunskap i dessa frågor och att inte vara rädd för att byta partner för att få ut maximalt av sin investering och minimera risken för säkerhetsincidenter, till någon som exempelvis ITS Nordic.
FOTO : P R I VAT
I
dag använder en majoritet av Sveriges bolag Microsoft 365. Många beslutsfattare reflekterar dock inte alltid kring säkerhetsaspekterna i tjänsterna. IT-brottsligheten har ökat markant med förlorad företagsdata, företagsspionage, phising och identitetsstöld som följd. Idag finns otroligt många säkerhetslager i Microsofts tjänster som skapar motståndskraft mot dessa hot, men för att realisera denna säkerhet krävs rätt kompetens hos den IT-partner bolaget valt att samarbeta med. Det är därför vitalt för bolagets säkerhet att beslutsfattare vågar kravställa säkerhetskompetens som prioriterad fråga vid val av samarbetspartner. Partnern måste utvärderas och ibland om det krävs ersättas om de framkommer att
Hampus Dellenstedt CTO ITS Nordic Denna artikel är i samarbete med ITS Nordic.
Läs mer på foretagsverige.se
DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET
5
Denna artikel är i samarbete med IF-försäkringar.
Digitaliseringen innebär en permanent förändring av spelreglerna för risk management Den snabba digitaliseringen där en allt större andel av företagens verksamhet blir digital medför många möjligheter men innebär samtidigt ökad risk att utsättas för olika typer av cyberbrottslighet. 2020 års stora hemarbetstrend till följd av Coronapandemin har dessutom medfört att cyberbrottsligheten antagit nya former. Text Annika Wihlborg
Hemmakontoret medför nya cybersäkerhetsrisker Coronapandemin har ändrat spelreglerna för hela samhället, även på cybersäkerhetsområdet. Företagens omställning till hemarbete gick otroligt snabbt och i många fall även väldigt smidigt när pandemin bröt ut i mars. Samtidigt bör man vara medveten om att hemmakontoret medför helt nya cybersäkerhetsrisker. – Medarbetare som arbetar hemifrån är exempelvis ofta mer utsatta för alltifrån phishing till olika typer av e-mailattacker. Som arbetsgivare gäller det att ta höjd för och i största möjliga mån förebygga dessa risker. Ransomware är en typ av cyberbrottslighet som ökat lavinartat
under 2020. Nu ser vi en ny form av ransomwareattacker där förövarna både kräver sina offer på lösensummor och säljer deras data på den svarta marknaden, säger Mikko Peltonen.
Gör en noggrann analys av företagets viktigaste tillgångar Nordiska bolag har i allmänhet en hög digitaliseringsgrad, men det behöver inte nödvändigtvis innebära att de har en mer heltäckande eller genomtänkt cybersäkerhetsstrategi. En försäkringskategori som är relativt ny men samtidigt efterfrågas allt mer är cyberförsäkringar. Enligt Mikko Peltonen kan cyberförsäkringar dels ge företag tillgång till ledande cybersäkerhetsexperter, jurister och PR-konsulter vid skada och även hjälpa dem att förebygga cyberbrottslighet genom att erbjuda riskanalyser och skadeförebyggande arbete. En cyberförsäkring ersätter delar av den ekonomiska skada ett företag
drabbas av i samband med cyberattacker, vilket i sin tur skyddar balansräkningen. Förebyggandet av cyberattacker är dock det enda sättet att helt undgå följder av ett dataläckage och om en verksamhet exempelvis utsätts för en attack där värdefull persondata läcker ut, riskerar det att orsaka stor skada på varumärket. – Ett första steg för företag som överväger att skaffa en cyberförsäkring är att identifiera verksamhetens absolut viktigaste tillgångar. De omfattande datamängder som merparten av alla företag hanterar är ett sådant exempel, men även verksamhetskritiska program och applikationer hör dit. Sedan ska man även tänka hur dessa kritiska tillgångar är skyddade i nuläget, och försöka kvantifiera risken tillräckligt. Alla dessa frågor kommer även potentiella försäkringsgivare ställa, så det är bra att vara förberedd. Samtidigt bör man vara medveten om att cyberförsäkringen enbart utgör en pusselbit i ett företags ITsäkerhetsstrategi, säger Mikko Peltonen.
FOTO : I F P& C I N S U R A N C E
Cyberförsäkringen enbart utgör en pusselbit i ett företags ITsäkerhetsstrategi
FOTO : G E T T Y I M AG ES
B
usiness interruption har traditionellt sett främst betraktats som ett resultat av fysisk påverkan, men i digitaliseringens tidsålder kan störningar i företags ordinarie verksamhet både orsakas och förebyggas med hjälp av digital teknologi. –En logistikfastighet som översvämmas av ett sprinklersystem kan orsakas av en hacker som manipulerat företagets IT-system så sprinklersystemet aktiveras. Samtidigt kan fastighetsägaren använda digital teknik till att exempelvis installera sensorer som känner av och signalerar vid ett eventuellt vattenläckage. Det kan i sin tur förebygga den här typen av översvämningar, säger Mikko Peltonen, chef för digital riskanalys och cyber på försäkringsbolaget If.
Mikko Peltonen Head of Digital Risks & Cyber If P&C Insurance
6
DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET
Läs mer på foretagsverige.se
Jonas Särnborg Vinnare av Gustaf Hamiltons riskhanteringspris 2020 VP Group Risk Management Husqvarna Group
FOTO : P R I VAT
FOTO : H U S QVA R N A
FOTO : K- G Z FO U G ST EDT
Athina Pehrman Ordförande, SWERMA Group Risk Manager Electrolux Professional
Jennie Wallin Ledamot, SWERMA Head of Enterprise Risk Management KPMG
Riskhantering i fokus under pandemin Pandemin har satt fokus på betydelsen av riskhantering, inte bara för att undvika kriser utan för att ta tillvara på affärsmöjligheter. Ingen kan se in i framtiden men det finns ett stort behov att öka förmågan att hantera oförutsedda händelser och där spelar riskhantering en viktig roll. Text Catharina Holm
Läs mer på foretagsverige.se
DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET
FOTO : P R I VAT
FOTO : P R I VAT
Ulrich Adamheit Ledamot, SWERMA Head of Business Risk Vattenfall
Sofia Hidén Vice ordförande, SWERMA Director ESQ BillerudKorsnäs
N
är rapporterna om ett virus i Kina började komma i början av 2020 kunde jag aldrig föreställa mig att vi var på väg rakt in i en global pandemi. För oss blev det snarare en resefråga till en början då vår kinesiska verksamhet redan låg nere för nyårsfirande. Kan vi åka till Kina eller inte? Sen kom fallen i Italien… Det berättar Jonas Särnborg, VP Group Risk Management, på Husqvarna Group och sätter orden på hur 2020 gjorde en U-sväng för de flesta av oss. Erfarenheter räcker bara så långt Det är den 17:e november, 2020 och rapporter om närstående vaccin men också ökad smittspridning avlöser varandra. Just denna dag deltar Jonas Särnborg, 2020 års vinnare av Gustaf Hamiltons riskhanteringspris, i ett digitalt rundabordssamtal tillsammans med fyra styrelseledamöter i SWERMA, Swedish Risk Management Association. Dessa fyra är Athina Pehrman, Group Risk Manager på Electrolux Professional tillika ordförande i SWERMA, Jennie Wallin, Head of Enterprise Risk Management på KPMG och ledamot, Sofia Hidén, Director ESQ på BillerudKorsnäs som är vice ordförande samt Ulrich Adamheit, Head of Business Risk på Vattenfall och ledamot – Jag tror att vi är många, särskilt i Europa, som aldrig haft en global pandemi på vår risklista, åtminstone inte som en topprisk. I Asien finns en helt annan beredskap för och insikt kring virusutbrott. De har en helt annan erfarenhet av dem, lägger Athina Pehrman, till. Pandemin är dock ett faktum där
inget och ingen har lämnats oberörd och som öppnat debatten kring samhällets beredskap på riktigt. Spridningen av Covid-19 har satt ljuset på vikten av att planera även för risker som, just nu, inte ses som särskilt sannolika. Det här gäller också våra företag. – Pandemin har visat att det inte går att basera ett bolags risker enbart på erfarenhet och historia. Bara det faktum att vi skapat ett digitaliserat och globaliserat samhälle där människor snabbt kan förflytta sig över jorden skapar helt annan komplexitet och hastighet i risklandskapet än det vi varit vana vid, säger Jennie Wallin. Nu ser vi hur snabbt kunder kan ändra sitt beteende, menar Jonas Särnborg. Pandemin har tvingat människor att spendera mer tid hemma vilket gynnat många branscher men samtidigt står andra, stora och välkända, bolag på randen till konkurs. – Det här har nog varit en ögonöppnare för många, just svårigheten att förutse exakt vad som påverkar kunders efterfrågan på ett företags kärnerbjudande men att det faktiskt kan förändras över en natt, säger han. Riskhantering i ljuset Även om just en pandemi inte sågs som särskilt sannolik hos de flesta bolag, inkluderat deras risk managers, har nivån av riskmedvetenhet hos bolag spelat roll för hanteringen av den, menar samtliga runt bordet. Och även om många risk managers ironiskt nog blev kortidspermitterade när de behövdes som mest, finns nu en tydlig öppning för dialog kring hur risk management faktiskt kan stötta företag. Att det faktiskt kan och bör vara en del i bolagets affärsutveckling. Ta klimatkrisen, till exempel. – Hållbarhet bör ses som en positiv risk och en affärsmöjlighet. Genom att
arbeta proaktivt med risker, som till exempel ett förändrat klimat och de konsekvenser det kan medföra, så går det ju att hitta lösningar som också blir en del av affärsutvecklingen. Utifrån hot och utmaningar kan vi vara med och bidra till en bättre värld samtidigt som företaget utvecklas, säger Sofia Hidén. Tack vare pandemin kommer hållbarhet och klimat att få ett allt större fokus framöver. Nu ser vi hur våra liv och våra verksamheter prövas av en allvarlig kris som slår rakt igenom våra samhällen. Precis som klimatkrisen kommer att göra, och redan börjar att göra. En stor risk som ju allt fler bolag börjar öppna ögonen för. – Det är viktigt för företagen att förstå de risker som klimatförändringarna medför: inte bara fysiska risker, men också transitional risker: investerare och andra stakeholders förväntar sig med rätta att strategin kommer att justeras därefter. Risk managers måste bli bättre på att se utanför sina egna organisationer och vidare ut genom hela värdekedjan, från leverantör till kund. Hållbarhet spelar också roll när det gäller rekrytering: för yngre generationer är hållbarhet- och klimatfrågor avgörande vid val av arbetsgivare. Det räcker inte med att prata om det, säger Ulrich Adamheit. Ny teknik, nya risker Ytterligare en risk som kommer att få allt större fokus framöver är den kopplad till Artificiell Intelligens, AI. Artificiell Intelligens har redan börjat förändra kunders förväntningar och företag som inte hänger med i den utvecklingen kommer att försvinna vilket är den största risken, säger Jonas Särnborg. Självklart ska riskhantering vara en integrerad del i utvecklingen av AI, exempelvis risker kopplat till personlig integritet. AI, i tillägg till övrig teknologi, kan dessutom ses som ett viktigt hjälpmedel inom risk management-professionen där man via interna och externa datakällor kan skapa ny och fördjupad realtidsinsikt för att understötta beslut och prioriteringar, säger Jennie Wallin. Det handlar alltså om ytterligare ett perspektiv till att integrera risk när man undersöker möjligheterna med och implementerar AI i verksamheten. Sofia Hidén lägger till: – Sedan ser vi ju en ökad sårbarhet i och med all data som vi samlar på oss, som skulle kunna missbrukas av kriminella intressen. En utmaning som är kopplad till försäkringslösningar, hur kommer försäkringsbolagen att ställa sig till risker kopplat till AI och hur kan man försäkra sig mot dem? Precis som med annan teknik kommer vi att mogna vad gäller cyberteknik och AI, menar Athina Pehrman. Allt som är nytt kan upplevas som svårt och utmanande. – Riskhantering handlar om att arbeta med många okända faktorer och att förbereda sig för det oväntade. Att kunna hantera oföutsedda händelser och med helikoptersyn avgöra vad som behöver prioriteras är risk managerns styrka och kärnan i yrkesrollen Vi kan göra skillnad när det verkligen behövs.
7
8
DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET
Läs mer på foretagsverige.se
Pandemin har gjort cybersäkerhet avgörande inom alla dina affärsbeslut Under pandemins tre första månader ökade digitaliseringstakten i samhälle och näringsliv dramatiskt. I en aldrig tidigare skådad hastighet hoppades det två-tre år framåt jämfört med existerande digitaliseringsplaner. För många innebar detta att framtiden redan var här gällande digitala tjänster, automatisering och robotisering.
Säkerhetschefer behöver förstå hela organisationen Ny teknik och nya affärsmodeller, kombinerat med den oerhört snabba implementeringstakten, medför nya IT-risker. Precis som tågets bromsar gör tågresan säkrare gör cybersäkerhet detsamma för den snabba
digitaliseringen, men bara om företag och organisationer involverar och inkluderar säkerhet i sina affärsbeslut. På samma sätt måste vi som jobbar med säkerhet dels finnas där för att tydliggöra risker men också på ett kalkylerat sätt ta risker när så är nödvändigt. Därför måste framgångsrika Cyber- och IT-säkerhetschefer idag förstå hela organisationens mål och syfte på ett helt annat sätt än tidigare, inte bara dess ITmiljö. I den tidigare nämnda globala studien svarar hela 96 procent att de har förändrat sin strategi kring cybersäkerhet med anledning av pandemin och nära hälften att de har cybersäkerhet i åtanke vid alla affärsbeslut. Det är mycket glädjande för dessa bolags överlevnad på lång sikt.
Låt säkerhet gå från kostnad till investering Att inkludera cybersäkerhet i alla affärsbeslut innebär att vi måste knyta
säkerhetsbudgeten till det affärsvärde den skapar, det vill säga vilka risker som hanteras och vilket ekonomiskt värde detta säkrar för affärsverksamheten. Genom att arbeta så kan vi förändra synen på säkerhet från att vara en kostnad till att vara en investering. Att kvantifiera cyberrisker är fortfarande en utmaning - det saknas vedertagna modeller och även kompetens att förstå cyberrisker ur ett affärsperspektiv. Trots detta visar tidigare nämnda undersökning att 60 procent av de svarande har påbörjat arbetet med kvantifiering av cyberrisker. I det nya, snabbare och mer säkerhetsmedvetna digitaliseringsracet som pågår både nu under, men också efter pandemin, bör alla bolag och organisationer påbörja detta arbete. Och de bör göra det omedelbart. De som inte agerar tillräckligt snabbt nu kommer att bli omsprungna och få enorma utmaningar med att komma ikapp igen.
FOTO: PWC SVERIGE
D
en globala krisen, både avseende hälsa och ekonomi, har verkligen fungerat som en katalysator för förändring. I en av våra globala undersökningar svarar 40 procent av tillfrågade företagsledare att man under krisen accelererat sina digitaliseringsplaner av affärsmässiga skäl - ofta drivet av ett behov av nya affärsmodeller. Detta har inneburit att många företag förändrat sin kärnaffär och sin organisation, medans andra brutit sig in på nya marknader.
Jonas Köpniwsky Head of Communications & PR PWC Sverige
Text Anders Carlsson
Effektiv risk- och krishantering kräver proaktivitet och praktisk träning Krishantering är ett ständigt relevant område som blivit än mer aktuellt i samband med Coronapandemin. Företag som proaktivt tränar upp sin risk- och krishanteringsförmåga ökar förutsättningarna att kunna hålla verksamheten igång, även när något oförutsett inträffar.
G
Text Annika Wihlborg
Risk- och krishantering – en del av företagets värdegrund
Denna artikel är i samarbete med PEAK Consult
Företag som gör hemläxan i form av en risk- och krishanteringsplan, bygger bort möjliga risker och genomför praktiska krishanteringsövningar står bättre rustade när det som inte får hända trots allt inträffar. Det innebär i sin tur att kostnadsbortfall och kaos kan minimeras vid incidenter och kriser. – Verksamheter som analyserar och identifierar sina risker kan vidta åtgärder som gör att riskerna elimineras, minimeras eller bevakas. Det här är ett kontinuerligt förebyggande arbete som bör vara lika självklart som IT-
FOTO: HÅKAN JANSSON
enom att agera proaktivt och kombinera en teoretisk risk- och krishanteringsplan med praktiska övningar kan företag maximera affärsnyttan, även i samband med kriser, exempelvis ett oväntat dödsfall, omfattande cyberattacker eller att en fastighet brinner ner. Nyckeln till framgångsrik risk- och krishantering är att organisationen känner sig trygg i hur det oförutsedda ska hanteras, säger LarsEric Persson, vd på PEAK Consult
säkerhetsarbetet eller att ha en strategi för företagets fysiska säkerhet, säger Anders Mattson, managementkonsult med inriktning mot krishantering på PEAK Consult.
Praktisk träning ger resultat Anders betonar vikten av att risk- och krishanteringsplanen inte bara blir en pappersprodukt. Varje person i företagets ledning har sin tydliga roll i samband med en kris. Att samtidigt ägna sig åt krishantering och säkerställa att verksamheten flyter på som vanligt fungerar sällan. Den som försöker sitta på två stolar riskerar att misslyckas med
båda uppgifterna. Ett tränat team bör hantera och minimera de akuta skadorna medan ordinarie ledning fokuserar på att hålla affärsverksamheten igång - inte minst den viktiga uppgiften att snabbt förmedla korrekt information till berörda medarbetare, kunder och samarbetspartners. –Ett företag som genomfört praktisk krishantering eller träning vid ett par tillfällen känner sig ofta betydligt mer trygga i hur de ska agera när det oförutsedda inträffar. Det ger en känsla av att organisationen står rustad att hantera i princip vilken kris som helst, säger Anders Mattson.
Läs mer på foretagsverige.se
DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET
9
Denna artikel är i samarbete med SamCert.
IT-säkerheten stärks genom standardisering Dagligen publiceras nyheter om hackerattacker och IT-intrång. Företag kan öka IT-säkerheten genom att arbeta systematiskt med ett certifierat ledningssystem. ISO 27001 är standarden för certifiering av IT-säkerhet. Text Annika Wihlborg
Informationssäkerhet i fokus Företag som arbetar medvetet och aktivt med informationssäkerhet inger förtroende, samtidigt som resurserna koncentreras till rätt uppgifter. ISO 27001 är framförallt baserad på att identifiera och hantera informationssäkerhetsrisker i företagets processer. SamCert är ett konsultföretag som hjälper små och medelstora företag att planera och genomföra sin certifiering. – Information är varje organisations viktigaste tillgång och den måste hanteras systematiskt och ansvarsfullt, fortsätter Ann-Sofie Gustafsson. Genom att använda standarden ISO 27001 i arbetet med ledningssystem för informationssäkerhet får organisationen vägledning i arbetet.
Rätt planering är nyckeln För en lyckad certifiering är det väsentligt att planera och avsätta de resurser som behövs i arbetet med certifieringen. Det finns exempel på projekt där företag försökt lösa detta på egen hand men då blir kostnaden betydligt högre då det kanske krävs att en anställd jobbar heltid med projektet i upp till ett par år. Genom att ta in extern hjälp blir projektet effektivt och bidrar till företagets verksamhetsutveckling. – Budgeten för att ta in extern hjälp kan variera och lösningar finns för olika storlekar på företag säger Ann-Sofie Gustafsson.
Den interna resursfrågan En del drar sig för att starta ett certifieringsprojekt med tanke på intern tidsåtgång. Men med rätt konsulthjälp krävs uppskattningsvis 2-300 timmar av den ISO-ansvariges arbetstid under
6-10 månaders projekttid för en lyckad certifiering enligt ISO 27001. De flesta företagsledare ser det som fullt rimligt att låta en nyckeladministratör i verksamheten ansvara för detta viktiga arbete.
FOTO : G ERT H O G N ERT
M
ånga funderar över fördelarna med certifiering och vill veta hur man certifieras och vilka resurser som krävs, säger Ann-Sofie Gustafsson, vd och grundare av konsultföretaget SamCert.
Ledningssystemet byggs upp Tillsammans med konsulten byggs ett komplett ledningssystem genom noggrann kartläggning av verksamhetens affärsprocesser och informationshantering. Framförallt baseras arbetet på noggranna riskanalyser och informationsflöden i verksamheten. Rutiner, policys och säkerhetsåtgärder arbetas fram utifrån företagets behov. I slutet av projektet genomförs revisioner av verksamheten. Nyckelpersoner och medarbetare intervjuas i en intern revision varpå resultatet sammanställs i en rapport.
Certifiering möter kundernas krav. Certifikatet i hamn Därefter genomför ett oberoende certifieringsorgan den externa revisionen som krävs för att få certifikatet i hamn. Denna revision är en opartisk bedömning av efterlevnaden av standarden i förhållande till organisationens ledningssystem. Efter godkänd certifieringsrevision utfärdas certifikat enligt ISO-standard ISO 27001. – Det är viktigt att fortsätta på den inslagna vägen efter certifieringen med regelbundna riskanalyser och att kontinuerligt upprätthålla arbetet med ledningssystemet, avslutar Ann-Sofie Gustafsson.
Ann-Sofie Gustafsson, vd, SamCert AKTÖRER INOM ISO ISO är en global gemensam organisation för nationella standardiseringsorganisationer i 165 länder.
VARFÖR CERTIFIERA FÖRETAGET? Det oberoende certifieringsorganet RISE, som gör revision hos många små och medelstora företag, sammanfattar fördelarna med certifiering.
Det svenska standardiseringsorganet SIS, Swedish Standards Institute, är medlem i ISO.
RISE (Research Institutes of Sweden) är ett certifieringsorgan som reviderar och utfärdar certifikat.
Ständig förbättring Hålla nivån Nya marknader Jämförbart, samma språk Uppfylla kundkrav Internationellt gångbart
SamCert är ett konsultföretag som bistår små och medelstora företag att bli certifierade och att utvecklas med sina certifieringar enligt ISO 9001, ISO 14001, ISO 45001 och ISO 27001.
Här hittar du mer information om SamCert. samcert.se
SWEDAC är det svenska kontrollorganet för att ackreditera certifieringsorgan i Sverige.
DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET
10 Läs mer på foretagsverige.se
I spåren av Covid-19: Nu krävs ytterligare fokus på cybersäkerhet. Plötsligt hände det. Från att det pratats digitalisering och arbete på distans under många år ställde i stort sett alla Sveriges verksamheter om på bara några veckor under våren 2020. Text Catharina Holm
Cyberbrotten ökar Många menar att detta kommer att vara proppen som gick ur. Få verksamheter kommer att gå tillbaka till ”normalläge”, åtminstone helt och hållet. Och det finns mycket som är positivt med att digitaliseringen nu tagit ordentlig fart. Men det finns också faror. Problemet med cyberbrott har vuxit i takt med att förvaltningen av våra mest värdefulla tillgångar har lämnats över till våra datorer. Det här rör samhällskritisk information såväl som våra egna, privata informationstillgångar. Det gäller stora myndigheter som små företag. – Idag har vi miljontals datorer världen över som är uppkopplade mot varandra, uppbyggda av både nya programrader och rader från flera decennier tillbaka.
Buggar och hål kommer alltid att finnas, och utnyttjas. Det gäller dock att minimera dem, och att minimera effekten av dem, säger Pontus Johnson.
Cyberhygien och cybersoldater På den samhällskritiska nivån – såsom för banker, transportsystem och elförsörjning – handlar det om cyberförsvar, med numera specialiserade cybersoldater. För gemene man handlar det snarare om cyberhygien, som att vara noggrann med lösenord, att inte klicka på okända länkar och att vara sparsam med att ge ut potentiellt känslig information. Virus och ransomware, utpressningsprogram, är vanliga hot där just cyberhygien räcker långt. När det kommer till hotet mot våra företag och organisationer har cyberattacker blivit allt vanligare, ibland ledda av nationer där Kina, Ryssland, Iran och Nordkorea pekas ut som aggressiva. Målet är ofta intellektuella tillgångar men också rena pengar. – Problemet är att våra it-system idag är så sammanlänkade att om en hackare väl har tagit sig in i systemen är det svårt att bli av med dem. Många företag har testat genom kampanjer som inte lyckats,
berättar Pontus Johnson.
Finns inga genvägar Den digitaliseringspropp som nu gått ur är bra, och spännande. Men den ställer ökade krav på cybersäkerhet. När det kommer till cybersäkerhet finns det inga genvägar. Steg ett är medvetenhet, steg två är att ledningen i ett bolag prioriterar frågan. Det krävs resurser och kompetent personal, tillsammans med en struktur för att hålla ordning och reda på företagets informationstillgångar. Det är ett ständigt arbete utan en enda enkel lösning. – Det är ett nitiskt, lite tråkigt arbete på försvarssidan som gäller. Cybersäkerhet är ett asymmetriskt arbete, eftersom angripare bara behöver hitta ett hål för att helt plötsligt vara inne. Corona har inneburit snabba omställningar, och tyvärr betyder snabbt ofta slarvigt, en dröm för någon med ambition att komma åt andras värdefulla information, säger Pontus Johnson och lägger till: – Hittills har det inte rapporterats om några stora ökningar av cyberbrott kopplat till just pandemin. Men ökar, det gör cyberbrotten hela tiden.
FOTO : K T H
P
å tre veckor gick hela universitetet i stort sett från svarta tavlan till undervisning via Zoom, säger Pontus Johnson, professor i nätverk och systemteknik på Kungliga Tekniska Högskolan, KTH, och pekar därmed på en vår 2020 som många känner igen sig i.
Pontus Johnson Professor KTH
Läs mer om KTH och cybersäkerhet här: KTH.se
En av Sveriges främsta utbildningsarrangörer inom säkerhet SSF har Sveriges bredaste utbildningsutbud och över femtio års erfarenhet av att genomföra utbildningar inom skydd och säkerhet. Utbildningarna ger deltagarna tillgång till praktiska verktyg i säkerhetsarbetet, både inom fysisk och digital säkerhet. initiativ redan innan Coronapandemin slog till men pandemin har definitivt bidragit till att accelerera utvecklingen. Det gäller inte minst efterfrågan på kurser som är helt eller delvis digitala. I takt med att antalet hemarbetare ökat ser vi också en växande efterfrågan på cybersäkerhetskurser, säger Monika Johannessen.
Samarbetar med branschens bästa säkerhetskonsulter Stöldskyddsföreningen lanserade nyligen e-learningkursen ”Jobba säkert digitalt”, som vänder sig till medarbetare som arbetar hemifrån med dator, smarttelefon eller platta från arbetsgivaren. Syftet är att öka den interna säkerhetsmedvetenheten hos alla medarbetare i en organisation och
inte enbart begränsa sig till ledningsnivå. Det webbaserade utbildningsformatet gör att SSF kan möjliggöra och förenkla för fler företag att säkerställa medarbetarnas digitala kunskap och säkerhetstänk –Vi har anpassat våra kursformat och vårt utbildningsutbud relativt snabbt i takt med att omvärlden förändrats. Just nu är efterfrågan hög på cybersäkerhetsutbildningar, men man ska inte glömma bort den viktiga fysiska säkerheten som ständigt är aktuell. Våra kurser är generellt mycket uppskattade. Det beror bland annat på att vi samarbetar med branschens bästa säkerhetskonsulter och att vi ständigt uppdaterar utbildningarna utifrån omvärldens krav, säger Monika Johannessen.
FOTO : P R I VAT
V
i erbjuder såväl öppna som skräddarsydda utbildningar och påbörjade för ett år sedan en långsiktig strategi som baseras på tio digitala initiativ. Satsningen är utgångspunkten för vår digitalisering under de kommande åren, säger Monika Johannessen, utbildningschef på SSF. SSF:s säkerhetsnormer ligger som grund för utbudet av utbildningarna. Kravställare för dess är exempelvis Polisen, försäkringsbolag eller branschorganisationer. Normerna i kombination med en kontinuerlig omvärldsbevakning bidrar till att utbildningarna alltid är genomarbetade, uppdaterade och relevanta. –Vi formulerade våra tio digitala
Monika Johannessen Utbildningschef SSF
Text Annika Wihlborg
Denna artikel är i samarbete med SSF.
Läs mer på foretagsverige.se 11
DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET
Informationssäkerhet- ett fortsatt hett och eftertraktat utbildningsområde Företags efterfrågan på informationssäkerhetskompetens har ökat på senare år, inte minst i samband med ökat antal IT-attacker och intrång, att GDPR trädde i kraft 2018 och en ny säkerhetsskyddslag introducerades 2019. Allt fler organisationer upptäcker fördelarna med att kontinuerligt utbilda sina medarbetare i informationssäkerhet som ett led i att skydda verksamhetskritisk och skyddsvärd information. Text Annika Wihlborg
Utvecklingen går snabbt inom informationssäkerhet, både vad gäller nya lagar och inom cyberbrottslighet. Det finns därmed många anledningar att hålla sig uppdaterad och att genomgå kontinuerliga utbildningar. Alla medarbetare behöver grundläggande kompetens – Det är självklart viktigt att ledningen föregår med gott exempel genom att följa organisationens säkerhetspolicys. Man bör också inse vikten av att alla medarbetare har en grundläggande kompetens kring och förståelse för informationssäkerhetsarbetet. Se även till att utse en informationssäkerhetsansvarig i organisationen med
övergripande ansvar för att driva dessa frågor, säger Lotta Eriksson. Hennes råd till företag som vill stärka sina medarbetares informationssäkerhetskompetens är att välja en erfaren och välrenommerad utbildningsarrangör som anlitar Sveriges ledande expertis på området. – I framtiden kommer företag att behöva anställa fler personer med specialistkompetens inom informationssäkerhet som kan inkludera informationssäkerhetsperspektivet i hela verksamheten. Vi ser exempelvis en mycket hög efterfrågan på vår utbildning till diplomerad säkerhetsskyddschef, säger Lotta Eriksson.
FOTO : L IZ A S I M O N S S O N
D
en ökade efterfrågan på informationssäkerhetsutbildningar är en långsiktig trend som förmodligen kommer att bestå även de kommande åren, säger Lotta Eriksson, ansvarig för säkerhetsutbildningar på Företagsuniversitetet, som arrangerar såväl öppna samt företagsanpassade utbildningar som längre YH-utbildningar med fokus på informationssäkerhet. Grunden i ett effektivt informationssäkerhetsarbete är en gedigen riskanalys samt att jobba med livslångt lärande på såväl ledningsnivå som medarbetarnivå.
Lotta Eriksson Ansvarig för säkerhetsutbildningar Företagsuniversitetet
Denna artikel är i samarbete med Företagsuniversitetet
Pandemin driver på digitaliseringen men informationssäkerheten halkar efter Många organisationer flyttar hela eller delar av sin IT-infrastruktur till molnet. Sedan Coronapandemin inleddes arbetar dessutom allt fler hemifrån, vilket ställer nya krav vad gäller mobil tillgång till data och tjänster. Dessa två faktorer bidrar till att kraven på företags informationssäkerhet skärps. Företagens viktiga data utsätts för många risker, därför är det otroligt viktigt att inkludera ett långsiktigt informationssäkerhetsperspektiv redan när molnresan inleds. Text Annika Wihlborg
väldigt enkelt att komma igång med en molntjänst, men många gånger glömmer man det viktiga helhetsperspektivet. Det gäller att noga analysera vad som verkligen ingår i molntjänsteleverantörens erbjudande. Det är lätt att ta för givet att de tar ansvar för informationssäkerheten, men det är ytterst ovanligt, säger Kris Skoglund, informationssäkerhetsexpert på Innovation Group.
Dataägaren ansvarar alltid för informationssäkerheten GDPR stipulerar tydligt att det är dataägaren snarare än molntjänst-
leverantören som är ansvarig för informationssäkerheten och den data som lagras i molnet. Det är därmed ett ansvar som aldrig kan delegeras. – Fundera även på hur länge ni behöver kunna återskapa informationen efter att en medarbetare slutat. Här varierar ramverken beroende på bransch, men det är viktigt att de molntjänster företag köper möter branschens krav på återskapande av information. Somliga molntjänsteleverantörer garanterar exempelvis bara att informationen finns tillgänglig i en månad, vilket är förhållandevis kort tid, säger Ola Rehnberg.
FOTO : P R I VAT
E
n central fråga för alla verksamheter är att fundera kring hur man skyddar information och kan återställa om man drabbas av en cyberattack till exempel Ransomware. Det gäller även information som lagras i molnet. Inte ens där är man säker. Vi ser att cyberattackerna ökar kraftigt i samband med pandemin, säger Ola Rehnberg, informationsstrateg på Veritas. – Många organisationer saknar kunskap om hur deras data säkerhetskopieras i molnet. Många duckar också inför denna fråga. Det är ofta
Ola Rehnberg Informationsstrateg Veritas
Denna artikel är i samarbete med Innovation Group/ Veritas
Är IT-Säkerhet viktigt? Är visibilitet viktigt? Om du frågar oss är kombinationen direkt avgörande!
Vi berättar gärna mer! exclusive-networks.com/se Exclusive Networks är en global värdeadderande distributör med fokus på IT-säkerhet, datacenter och molnlösningar. Vår djupgående kompetens ger oss förutsättningar att förstå de utmaningar företag och organisationer står inför idag.