De fleste har hørt historierne om ransomware, phishing og virksomheder, der mister adgang til deres systemer eller data. Mange har også selv oplevet mindre episoder undervejs — mistænkelige mails, kompromitterede adgangskoder eller medarbejdere, der ved et uheld klikker på noget, de ikke burde.
Problemet er derfor sjældent manglende bevidsthed. De fleste virksomheder ved godt, at cybersikkerhed er noget, de bør tage seriøst.
Det skyldes ikke nødvendigvis ligegyldighed. I mange tilfælde handler det mere om, hvordan hverdagen i en moderne virksomhed faktisk ser ud. Når fokus naturligt ligger på kunder, drift, medarbejdere, økonomi og levering af opgaver, kan sikkerhedsarbejde hurtigt ende som noget, man tager løbende i små bidder, når tiden tillader det.
Mange virksomheder gør derfor allerede forskellige ting for at forbedre sikkerheden uden nødvendigvis at arbejde med det som en samlet strategi. Måske er der installeret antivirussoftware. Måske findes der backup. Nogle medarbejdere bruger multifaktor-login, mens andre endnu ikke gør. Adgangsrettigheder er måske blevet bygget op over flere år uden rigtig at blive gennemgået samlet.
Det er sjældent et resultat af manglende ansvarlighed. Tværtimod opstår det ofte helt naturligt i virksomheder, der udvikler sig over tid. Nye systemer bliver indført, medarbejdere starter og stopper, og forskellige løsninger bliver tilføjet undervejs, efterhånden som behovene ændrer sig.
Noget af det mest udfordrende ved cybersikkerhed er nemlig, at problemerne sjældent er tydelige, før noget går galt. Hvis alt fungerer normalt, kan det være svært at vurdere, hvor store risiciene egentlig er, og hvilke områder der fortjener mest opmærksomhed.
Samtidig oplever mange virksomheder, at sikkerhedsområdet hurtigt bliver meget teknisk. Der findes et væld af anbefalinger, standarder og produkter, og det kan være svært at vurdere, hvad der faktisk er relevant for ens egen virksomhed.
Det handler ikke om at gøre virksomheder til sikkerhedseksperter eller om at skabe endnu et stort IT-projekt. Det interessante er snarere idéen om at gøre cybersikkerhed mere overskueligt og praktisk at arbejde med i hverdagen.
Cybercue hjælper virksomheder med at skabe et mere struktureret billede af deres nuværende sikkerhedsniveau og peger på områder, hvor det giver mening at forbedre sig først. I stedet for at forsøge at løse alt på én gang bliver arbejdet delt op i mindre og mere håndterbare trin.
Når sikkerhedsarbejde føles uoverskueligt, bliver det nemt noget, man udsætter. Ikke fordi det er uvigtigt, men fordi det kan være svært at finde et naturligt sted at begynde. Derfor kan selv relativt simple forbedringer ende med at blive forsinket i måneder eller år.
I praksis handler god cybersikkerhed dog ofte ikke om perfektion. Det handler mere om gradvist at reducere risiko, skabe bedre vaner og få bedre indsigt i, hvordan virksomheden faktisk arbejder med adgang, data og systemer.
Det gælder især i mindre og mellemstore virksomheder, hvor ressourcerne sjældent er ubegrænsede, og hvor sikkerhedsarbejde nødvendigvis skal kunne fungere side om side med den daglige drift.
Cybersikkerhed er derfor måske mindre et spørgsmål om at nå et bestemt niveau og mere et spørgsmål om at arbejde systematisk med området over tid. Ikke nødvendigvis perfekt, men bevidst og struktureret nok til, at vigtige ting ikke bliver glemt eller overset.
