Så gör ni cybersäkerhet till en affärsfördel

Cybersäkerhet har länge betraktats som en kostnadspost för att skydda verksamheters tillgångar eller leva upp till allt striktare lagkrav. Men företag som tar frågan om cybersäkerhet på allvar har mer än så att vinna – de skapar även tydliga konkurrensfördelar.

– De som lyckas säkra sig mot cyberhot kommer att ligga steget före sina konkurrenter – men det kräver rätt angreppssätt, säger Henrik Petré, rådgivare på PwC inom cybersäkerhet.

Att på olika sätt försöka skydda sin verksamhet mot digitala hot har blivit vardag för många företag. Men hur väl lyckas egentligen företagen med arbetet för cybersäkerhet? Enligt PwC:s undersökning Digital Trust Insights har de flesta långt kvar till att uppnå så kallad cyberresiliens. Undersökningen är baserad på enkätsvar från över 4 000 affärs- och teknikchefer i 77 länder.

– Det visar sig att endast 2 procent av företagen idag har en heltäckande cybersäkerhetsstrategi för organisationen – detta trots att 96 procent har ökat sina investeringar på området det senaste året. Dessutom anser cheferna att företagen är minst förberedda på att hantera just de cyberhot som de anser vara mest oroande, som molnrelaterade risker och tredjepartsintrång, säger Marie Strömberg, rådgivare på PwC inom cybersäkerhet.

Cybersäkerhet som affärsfördel

Att lyckas säkra verksamheten utifrån ett cyberperspektiv handlar inte längre bara om att skydda tillgångar och minimera risker. Rätt satsningar kan också ge tydliga affärsvinster – genom ökat kundförtroende, konkurrenskraft i upphandlingar och bättre förutsättningar för innovation, konstaterar PwC:s experter.

– Företag med god cybersäkerhet stärker helt enkelt sin kommersiella position. Genom att uppvisa god förmåga att hantera relevanta risker bygger man förtroende hos kunder och affärspartners, säger Marie Strömberg.

Detta gäller inte minst för branscher där beroendet av externa leverantörer är stort. Idag växer kraven på att alla parter i en leverantörskedja ska uppfylla höga säkerhetsstandarder. En brist hos en enda leverantör kan få tydliga konsekvenser i en större värdekedja – och därför har tredjepartsgranskningar blivit ett växande affärsområde i sig.

– Vi får ofta förfrågningar om att verifiera leverantörer åt kunder som vill kunna cybersäkra sin leverantörskedja. Det görs av många skäl, bland annat för att lättare gå vidare i en upphandling. I vissa fall är kraven så tydliga att man inte ens får lämna in en offert om man inte kan visa upp rätt certifieringar, säger Henrik Petré.

Även i striktare lagar och regelverk går det att hitta affärsmöjligheter. Nya regelverk som NIS2 och DORA ställer högre krav på allt från leverantörers cybersäkerhet till anpassade cyberutbildningar för styrelse och företagsledning. Företag som agerar tidigt kan använda implementeringen av dem som en fördel.

– Här kan man inte bara få ett försprång i upphandlingar utan även se en direkt förmågehöjande effekt från de riskhanteringsåtgärder som utförs i samband med anpassningen till regelverken. När säkerheten är på plats blir det också lättare att bygga nytt. En stabil grund minskar helt enkelt risken vid expansion och öppnar för tryggare innovation, säger Marie Strömberg.

Så uppnår man cyberresiliens

PwC:s undersökning visar alltså att många företag är medvetna om vikten av cybersäkerhet och att de satsar mer på området – men samtidigt att det finns luckor kvar att fylla. Här är Marie Strömbergs och Henrik Petrés tips för att stärka cybersäkerheten i verksamheten.

1. Se till att cybersäkerhet är en strategisk ledningsfråga

   Färre än hälften av cheferna i PwC:s undersökning uppger att deras informationssäkerhetschefer är starkt involverade i strategisk planering, styrelserapportering och teknikbeslut.
   
   – Det förlorar företagen på. För att cybersäkerhet ska bli en verklig konkurrensfördel måste det finnas på agendan hela vägen upp. Cybersäkerhet bör inte ses som en isolerad IT-fråga, utan snarare som något som berör hela verksamheten från strategi till operativa insatser, säger Marie Strömberg.

2. Glöm inte fabriks-IT och produktsäkerhet

   Endast 2 procent av cheferna uppger att deras företag har implementerat cybersäkerhetsåtgärder i hela organisationen. En vanlig lucka finns inom OT – det vill säga operativ teknik i fabriker och uppkopplade produkter.
   
   – Företag har ofta kommit längre med sin traditionella IT-säkerhet, medan OT-säkerheten halkar efter. Samtidigt är till exempel ransomware lika relevant på OT-området, där det både kan orsaka personskador och slå ut hela produktionslinor. I branscher med uppkopplade produkter, som bilar, larmsystem eller hushållsapparater, behöver säkerheten byggas in redan i utvecklingsfasen, säger Henrik Petré.

3. Gör jobbet – och bevisa det

   Många bolag som PwC träffar gör redan mycket av jobbet kring cybersäkerhet. Men med ökade krav på certifieringar och styrning krävs också att man kan visa att säkerheten fungerar i praktiken.
   
   – Det räcker inte att bara jobba med cybersäkerheten – man behöver alltmer även kunna bevisa att man gör det. Ett bra ledningssystem för informationssäkerhet, som ett ISMS med ett etablerat ramverk som grund, är ett oerhört viktigt fundament för detta. Det sätter tydliga ramar för vad som ska göras, hur det ska göras, och varför, säger Marie Strömberg.

Extern kompetens kan hjälpa

Behovet av ändamålsenlig cybersäkerhet spänner över en rad kompetens- och funktionsområden. Den tekniska, den regulatoriska och inte minst den geopolitiska utvecklingen på området går enligt Henrik Petré i rasande takt, och företagen behöver därför agera. 

– Men det är långtifrån självklart att bolag lyckas möta den här utvecklingen enbart med hjälp av befintliga, interna resurser. Investeringsgraden här lär stiga och vi ser många som väljer att ta in extern kompetens i takt med att kraven på dem ökar.