Vi hører om tendensen mange steder fra: It-sikkerhed som topprioritet er på vej mod tinderne i dansk erhvervsliv. I hvert fald ifølge medier og ikke så få organisationer. Dansk Industri bekræfter det stigende fokus i juni 2021 og siger, at det kræver ledelseskræfter. Kort efter stemte Industriens Fond i og offentliggjorde, at man vil uddanne 6.000 bestyrelsesmedlemmer i it-sikkerhed. Men hvordan står det til, hvis man spørger virksomhederne selv? ER der en stigende interesse og et øget fokus? I dén grad!
Netop dét mærker vi i edgemo på mange måder. Èn tydelig indikator er, at vores egen Torben Christensen i dag finder sig selv i spidsen for noget, der minder om et it-sikkerheds-road show. En pendant til Stand-Up-genrens one-man-shows. Bortset fra, at hér er der sjældent er noget at grine af. Og efter et angreb står man ikke op – man ligger ned.
Rundrejsen startede hos kunderne, og i 2021 har det ene erhvervsnetværk efter det andet bedt om Torben komme forbi og holde oplæg om it-sikkerhed. I salene tager bestyrelsesmedlemmer, topledelser og andre centrale beslutningstagere plads. Måske ved de, at Torben Christensen er tidligere it-direktør i den globale storkoncern, Eurofins. Måske ikke. Men den store efterspørgsel er afstedkommet uden skyggen af annoncering eller markedsføring af Torben og hans omrejsende sikkerhedscirkus. Vi snakker altså en helt organisk udbredelse af det gode budskab. Fra mund til mund. Fra netværk til netværk.
”Folk er vilde efter at høre, hvor galt det er gået derude”
Torbens Road Show skiller sig også væsentligt ud fra mængden af løftede pegefingre og junglen af råd og salgstricks. Han tager nemlig ud og taler med folk – og spørger, hvad de vil høre om. Og der tegner sig et klart billede: ”Folk er vilde efter at høre, hvor galt, det er gået derude”, fortæller han. Og det er der nok en god forklaring på.
”Det er lidt hot”, indrømmer Torben Christensen på spørgsmålet om, hvor stor en efterspørgsel han oplever på sine optrædener. Selvom It-sikkerhed er så lidt nyt, som noget næsten kan være, så er det stadig brandvarmt. Årsagen? Fordi bevidstheden og forankringen af den ikke er fulgt med udviklingen og det konstant stigende trusselsbillede. Det vil sige, at beredskaberne derude ofte ikke matcher virkelighedens alvor. Vi har derfor stævnet Torben for at høre, hvad folk vil høre om – og hvad han får retur fra de mange virksomhedsledere og bestyrelsesmedlemmer, han møder.
Torben Christensen er gjort af et særligt stof. Læser du hans portræt, så vil du hurtigt erfare, at han ikke er din gennemsnittelige it-BRM’er. Før edgemo kom Torben fra en stilling som it-direktør med base i udlandet i en international kæmpekoncern. Med tusinder af ansatte og deraf også millionstore it-budgetter. Måske den erfaring gør, at han kan tale til virksomhedsejere, -ledere og bestyrelsesmedlemmer, så alle er med? Men Torben er også kulturbærer og en ”peoples person”, som man siger på godt dansk. Og sidstnævnte spiller også ind i forhold til at formidle og til at analysere sine modtageres respons – og skabe dialogen.
Var bekymret for, om det var for banalt
I edgemo har vi, og Torben inkluderet, de senere år været involveret i og vidnet flere af de helt store cyber-angreb på virksomheder herhjemme og internationalt. Vi er ikke et sikkerhedshus som sådan, men vi har over tid fået tildelt en position og en rolle, som dem, der kan styre processen, skabe beredskabet og rydde op. Og vigtigst af alt re-etablere driften, minimere tabet og forebygge, at det sker igen. Torben har været bag kulissen ved flere angreb, og har oplevet det på egen krop som it-direktør. De erfaringer deler han nu ud af på landevejen.
”I starten, da jeg begyndte at få kontakt til de første erhvervsnetværk, var jeg faktisk bekymret for, om det, jeg havde at sige, var for banalt. Problemet er bare, at det stadig er meget basale ting, som mangler i sikkerheden hos mange virksomheder. Men jeg tænkte, at det nok var for tyndt at rejse rundt med. Men det var det IKKE”, understreger Torben. "Det er basalt, men åbenlyst ikke særligt banalt".
Helt almindelig husholdning
Baggrunden for denne snak med Torben er at sætte en streg under, at der er et stort behov for at klæde topledelser på til at forstå, hvad it-sikkerhed er – og at det i dag er et vigtigt konkurrenceparameter og en betingelse for overhovedet at kunne drive forretning. Da Torben begyndte at turnere rundt i erhvervsnetværkene, blev det hurtigt klart, at mange gik rundt med forestillinger om it og sikkerhed, som var ”så langt fra virkeligheden, at man skulle tro, at de aldrig har haft en samtale med deres it-afdeling”, som Torben udtrykker det. ”Når folk derude snakker sikkerhed, så tænker de helt automatisk på noget dyrt og på firewalls og systemer. Men i essensen er det slet ikke det, som det drejer sig om”, siger han og fortsætter: ”Det handler om helt almindelig husholdning, som man skal udføre i sin infrastruktur. Når jeg spurgte til de mest basale ting; hvor mange har aktiveret xxx eller yyy? Hvor mange har implementeret Z eller Q? Og allerede i den første runde foredrag viste det sig, at der er forbløffende mange huller i osten derude”.
I kommer RIGTIG langt uden at investere
Torben ser hans foredrag som en mulighed for at udbrede en vigtig bevidsthed til de virksomhedsledere, som har taget plads i salen: ”Mit budskab er: I kommer rigtig, rigtig langt UDEN at investere. Det er simpelthen en spørgsmål om praktik. Det er helt basale indstillinger og rutiner, som skal tjekkes af på. Mestendels handler det om tid hos medarbejderne. Essensen er at bruge den sikkerhed, som man allerede har, rigtigt”.
Tag fat i jeres CEO
Erfaringen fra de mange foredrag og oplæg, og også fra en lang karriere i it-branchen, er i flg Torben, at folk derude er dygtige. Tag ikke fejl! Og vi ved, at folk er dygtige. Men som med meget andet i erhvervslivet, så handler det om fokus, ressoucer og budgetter. ”Det, som jeg helt tydeligt erfarer er, at MANGE derude vil gerne gøre det rigtigt. Og faktisk også rent fagligt er i stand til det. Men vi hører typisk to ting: 1, vi er overvældet af opgaver på driften, så vi har ikke tid. Og 2, vi har ganske enkelt ikke penge til det - det er produktionen, der prioriteres. Og det, jeg så siger til de ledere, som frivilligt tropper op for at lytte til mig, er: Det er muligt, topledelsen dirigerer forretningen i den rigtige retning. Men det er it, der sikrer dens overlevelse. I dag står it-afdelingen helt reelt med forretningens liv i hænderne, når man kan miste hele sin infrastruktur med ét slag. Jeg ville ønske, at flere at ville reagere med at tage fat i deres CEO og få sådan en som mig til at komme ud og ruske op i ham”, konstaterer han.
”CEO er den første, man vækker, når der er et angreb…”
At være gearet som organisation til at modstå et cyber-angreb, handler lige så meget om bevidsthed og beredskab, som det handler om værktøjer og systemer. ”Bevidstheden på topledelsesniveau er nødt til at manifestere sig. Vi skal have et gennembrud”, siger Torben. Forklaringen skal findes i, at de klassiske kommandoveje i en organisation er nødt til at blive sat til side, da de ikke understøtter de nødvendige aktioner ved et cyberangreb. Torben forklarer: ”CEO er den første, man vækker, når der er et ransomware-angreb – MEN sagen er, at it-chefen ikke skal bruge tid på en CEO. Der skal simpelthen foreligge en skriftlig aftale om, at it-chefen har hjemmel til at tage de aktioner, han eller hun finder nødvendigt. En it-chef skal IKKE kunne møde nogen form for repressalier bagefter. For når angrebet sker, så er det spørgsmål om sekunder og minutter. Er man tilbageholden, fordi alt skal cleares i toppen, så lukker butikken ganske enkelt. Og der sker omfattende skade på forretning – og mennesker”.
Stands ulykken – udøv livreddende førstehjælp
Torbens erfaring fra hans besøg hos de mange netværk er, at det er meget få, som har et sådant set-up på plads. Det samme gælder helt fundamentale beredskabsplaner. ”En beredskabsplan SKAL være til stedet i enhver virksomhed. Der SKAL være en aftale med CEO og bestyrelse om, at it-chefen kan gøre, hvad han/hun finder rigtigt. Fuldstændigt efter samme instanser som førstehjælp: Stands ulykken – udøv livreddende førstehjælp - tilkald hjælp. Det er meget, meget dyre sekunder, vi snakker om”, konstaterer Torben Christensen. "Derfor skal beredskabet også omfatte en kommunikationsplan. Det skal være aftalt, hvem der kommunikerer ind og ud af it-afdelingen. De skal have ro til at arbejde og ikke belejres af direktører med spørgsmål".
”Jeg kommer til jer som traumatiseret it-chef…”
Torben understreger, at de basale husholdnings-relaterede tiltag og det livsvigtige beredskab ikke kun handler om forretning. ”Jeg plejer at sige til de meget dygtige og erfarne folk, som frivilligt kommer og lytter til mig: Jeg kommer til jer som traumatiseret it-chef. For jeg har selv været der. Der er en alvorlig menneskelig side, af det her. Du SKAL ringe efter nogen – efter hjælp – og sørge for, at dine it-folk ikke knækker. De skal nemlig kunne klare belastningen i lang tid. Det kræver det. Og ja, det ER prisen værd”, siger han og fortsætter: ”Jeg har været vidne til meget dygtige og rare mennesker, som aldrig er kommet tilbage på arbejdsmarkedet efter et cyberangreb. Det kan være utrolig voldsomt. Og dét er en vigtig del af den bevidsthed, som vi skal have op på topledelsesniveau. Man skan SLET ikke forestille sig det pres, man er i – det er hér, at CFO’en og it-chefen skal være i samme båd. Tidligere kunne man arbejde sig ud af et virusangreb på en uge. Nu er det et spørgsmål om mange måneder”, slutter Torben Christensen.
Beretninger fra den virkelige verden
Uden produkter og dyre firewalls under armen er Torben blevet en (endnu mere) travl og efterspurgt herre. Hans mange fortællinger og erfaringer fra den del af virkeligheden er i høj kurs. Naturligvis fordi, det er en virkelighed man som leder, ejer og bestyrelsesmedlem ikke ønsker at opleve. Eksemplets magt er som bekendt stærkt, og derfor kan en anekdote med hold i virkeligheden til en hver tid slå en løftet pegefinger og en teknisk faktaboks med en gul tilbudsseddel oppe i hjørnet. Og Torben har rygsækken fuld af anekdoter og tørre konstateringer.
Tag fat i Torben, hvis jeres virksomhed, forening eller netværk vil have et virkeligheds-tjek på jeres sikkerhed.
Tænd kontakten