Alla förstår nu att de måste ta ansvar,
men vem tar det egentligen?
En ny rapport landade nyligen i vårt flöde. Den handlar om svensk cyberberedskap och totalförsvar, och den bekräftar något vi på Seadot sett länge: engagemanget växer, medvetenheten ökar men klyftan mellan stora och små bolag vidgas.
Det är en klyfta som kostar. Och det är en klyfta som CISOaaS är byggd för att stänga.
”Vi förstår att vi måste ta ansvar” räcker inte
Rapporten som Aktuell Säkerhet nyligen lyfte bygger på intervjuer med över 1 000 beslutsfattare i det svenska näringslivet. Tre av fem uppger att de har hög eller ganska hög förmåga att hantera cyberattacker. Fler än tidigare har genomfört utbildningar, risk- och sårbarhetsanalyser och beredskapsplaner.
Det är goda nyheter. Men det finns en baksida.
Småföretagen halkar efter. Och det är inte för att de inte bryr sig, det är för att de saknar strukturen, kompetensen och resurserna för att omsätta insikt i handling.
Det är just det som är vår tes: vi har kommit till en punkt där de flesta förstår att cybersäkerhet är deras ansvar. Det nya problemet är inte längre okunskap, det är kapacitetsgap. Och det är ett helt annat problem att lösa.
Storföretaget och småföretaget lever i olika verkligheter
Större företag med en dedikerad IT- och informationssäkerhetsavdelning kan hantera ett lagkrav som NIS2 och Cybersäkerhetslagen utan att det påverkar verksamheten nämnvärt. De har resurser att ta in konsulter, uppdatera processer, och har oftast en anställd CISO – en Chief Information Security Officer, vars uppdrag bl.a. är att äga säkerhetsstrategin.
Mindre företag lever i en annan verklighet. Säkerhetsfrågorna landar hos IT-ansvarig, som kanske också är den som fixar kaffemaskinen och onboardar nya medarbetare. Det är ingen kritik, det är en realitet.
Men hotbilden gör ingen skillnad på storleken bolagets storlek.
En ransomware-attack drabbar er lika hårt om ni är 40 eller 400 anställda. En leverantör i er försörjningskedja är lika sårbar oavsett om de omsätter 10 eller 100 miljoner. Och om ni ingår i totalförsvaret, direkt eller indirekt, så ställer det krav som ingen kan välja bort.
CISO-rollen är inte ett lyxproblem
Det finns en utbredd missuppfattning om vad en CISO faktiskt gör. Många tänker: det där är för storbolag. Det är den person som sitter i en glasad sal och pratar med styrelsen om hot och risker.
En CISO ser till att säkerheten inte bara lever i IT-avdelningen utan är förankrad i ledningsgruppen och styrelsen. Det är den person som ställer de obekväma frågorna: Vad händer om vi drabbas? Har vi koll på våra leverantörers säkerhet? Uppfyller vi de regulatoriska krav som faktiskt gäller oss? Hur hanterar vi en incident utan att tappa kundernas förtroende?
Det är strategiska frågor. Inte tekniska.
Och de frågorna är minst lika viktiga för ett mindre eller medelstort tjänsteföretag som för en bank.
Problemet är inte viljan – det är modellen
Varför saknar då så många bolag den här funktionen? Inte för att de inte förstår värdet. Utan för att modellen inte passar.
En erfaren CISO på heltid är en investering som är svår att motivera för ett bolag som inte är redo att bygga en hel säkerhetsorganisation och marknaden för säkerhetskompetens är extremt konkurrensutsatt.
Men behovet av säkerhetsledarskap försvinner inte bara för att modellen är för dyr.
Det är där CISO as a Service förändrar spelplanen. Inte som ett kompromissalternativ utan som en ny modell som är designad för hur de flesta organisationer faktiskt ser ut och fungerar.
Vad CISO as a Service faktiskt är och inte är
Låt oss vara tydliga med vad vi menar när vi pratar om CISOaaS.
Det är inte en rådgivare som dyker upp en dag i månaden och lämnar en rapport. Det är inte ett verktyg eller en mjukvarulösning. Och det är definitivt inte ett sätt att flytta ansvaret bort från ledningen.
Det är en dedikerad säkerhetsledare som äger er säkerhetsstrategi, agerar som er CISO gentemot styrelse, partners och myndigheter, och finns tillgänglig när det faktiskt händer något.
I praktiken innebär det att ni får:
Strategisk ägarskap.
Någon som inte bara svarar på frågor utan driver arbetet framåt. Som sätter mål, följer upp och håller organisationen ansvarig och som vid behov kan leda certifieringsarbete för ISO 27001, ett allt vanligare krav från kunder och partners.
Regulatorisk trygghet.
Cybersäkerhetslagen, DORA – regelverken avlöser varandra. Er CISOaaS håller er uppdaterade och säkerställer att ni faktiskt efterlever dem, inte bara på pappret.
Ledningsstöd.
Styrelsen och VD ska kunna fatta välgrundade beslut om säkerhet. Det kräver någon som kan översätta tekniska risker till affärsmässiga konsekvenser och som har mandat att driva frågan uppåt.
Incidentberedskap.
Inte bara en plan i en låda, utan faktisk förmåga att agera. Med tydliga roller, testade processer och en partner som vet vad de gör.
Tillbaka till rapporten – och vad den egentligen säger
Rapporten vi nämnde i inledningen visar att andelen bolag som vidtagit beredskapsåtgärder ökar. Det är bra. Men den visar också att många fortfarande saknar konkreta planer, och att kunskapsbrist är det vanligaste hindret.
Det är ett hinder vi kan ta bort.
Inte genom att ge er en kurs eller en checklista. Utan genom att sätta en erfaren säkerhetsledare vid ert bord som äger frågan, driver den och ser till att ni inte halkar efter.
För det är precis det som sker just nu, i det skärpta säkerhetsläge vi alla befinner oss i: de som har rätt struktur på plats bygger motståndskraft. De som väntar, av resursskäl, av osäkerhet, av att frågan aldrig riktigt hamnar högt nog på agendan halkar efter.
Och glappet växer för varje kvartal som går.
Frågan är inte om ni behöver säkerhetsledarskap. Det är hur ni bygger det.
Vi är övertygade om att de flesta organisationer med 20–500 anställda inte behöver en heltids-CISO. Men de behöver CISO-funktionen.
Det är en viktig distinktion.
Hos Seadot Cybersecurity jobbar vi med bolag som har tagit det beslutet. Som har förstått att säkerhetsledarskap inte är en kostnad, det är en investering i att kunna fortsätta bedriva sin verksamhet, oavsett vad som händer.
Är ni i den gruppen? Eller funderar ni på att ta steget?
Vi pratar gärna.