Av: Darel Cullen, CTO, Wolters Kluwer Tax & Accounting Scandinavia

Samtidigt fortsätter många att betrakta cybersäkerhet som en teknisk fråga. Men när en säkerhetsincident inträffar är konsekvenserna sällan i första hand tekniska. De handlar om förtroende, relationer och affärer. Kunddata kan hamna i fel händer, verksamheten kan störas och förtroende som byggts upp under lång tid kan snabbt gå förlorat.

De flesta säkerhetsincidenter börjar dessutom betydligt mer vardagligt än många tror. Ofta handlar det om ett trovärdigt mejl som öppnas, en länk som klickas på av misstag eller information som delas utanför etablerade rutiner. När behörigheter inte avslutas i tid eller arbetssätt skiljer sig mellan olika delar av organisationen uppstår sårbarheter som kan vara svåra att upptäcka innan skadan redan är skedd.

Många företag hänvisar i dag till att de arbetar enligt etablerade standarder för informationssäkerhet, exempelvis ISO 27001. Det är i grunden positivt. Standarder hjälper organisationer att skapa struktur, tydlighet och ett mer systematiskt arbetssätt.

Verifierbarhet avgörande

Men det finns en viktig skillnad mellan att inspireras av en standard och att låta sitt arbete granskas mot den. När ett företag certifierar sig enligt ISO 27001 granskas processer, rutiner och arbetssätt regelbundet av en oberoende part. Syftet är inte att uppnå perfektion, utan att säkerställa att säkerhetsarbetet faktiskt fungerar över tid och kontinuerligt utvecklas i takt med verksamheten och omvärlden.

Den skillnaden blir allt viktigare. I dag vill kunder och andra intressenter i högre grad kunna bedöma hur företag hanterar risker och skyddar information. Att kunna hänvisa till ett verifierat arbetssätt skapar en annan transparens än att enbart beskriva vilka ambitioner som finns.

Utvecklingen inom AI förstärker dessutom behovet av tydliga processer och ansvarsfördelning. Samtidigt som tekniken skapar nya möjligheter ökar den också komplexiteten. Deepfakes, röstkloning och alltmer avancerade bedrägeriförsök gör det svårare att avgöra vad som är legitim kommunikation och vad som inte är det.

I den miljön blir informationssäkerhet mindre en fråga för IT-avdelningen och mer en ledningsfråga. För många företag blir förmågan att visa, snarare än beskriva, hur information skyddas allt viktigare – både för att behålla förtroendet och för att vinna framtida affärer.