Jeg er CFO – og plutselig ansvarlig for IT- sikkerheten. Hva nå?

En CFO må forholde seg til stadig flere områder, ikke minst IT, datahåndtering og – stadig oftere – cybersikkerhet. Her er noen nyttige tips til hvordan du som CFO bør håndtere denne nye oppgaven.

Geir Dalen er CFO i Sicra
Geir Dalen, CFO i Sicra
Geir Dalen, CFO i Sicra Dette er eN KRONIKK. Innholdet i teksten står for skribentens regning.
Publisert

De siste årene har jeg sett en tydelig endring i hva det vil si å være CFO. 

Det handler ikke lenger bare om økonomistyring og rapportering, rollen beveger seg stadig tettere på områder som IT, informasjonshåndtering og cybersikkerhet. 

Analyseselskapet Gartner understreket dette på sin siste CFO-konferanse: «Finansdirektører må styre investeringene innen cybersikkerhet,» sa Paul Proctor, analysedirektør i Gartner fra scenen.

Jeg er CFO i Sicra, et selskap som jobber med cybersikkerhet. Jeg har ikke det operative ansvaret for sikkerhetsarbeid – det har vi egne spesialister til – men jeg vet hvordan det føles når sikkerhetsansvaret kommer snikende til økonomiavdelingen. For mange CFO-er skjer dette uten opplæring, støtte eller tydelig mandat. Det forventes at vi tar ledelsen over et område vi verken har bedt om eller nødvendigvis har inngående kunnskap om.

CFO må bruke sin styrke

Samtidig er det naturlig at CFO-er får denne rollen. Økonomiavdelingen har alltid hatt et sterkt forhold til risiko og kontroll. Dessuten handler cyberangrep ofte om økonomiske tap, om trusler mot verdier og drift, og om kontrollsvikt som kan bli katastrofalt kostbar. Ifølge IBM «Cost of a Data Breach Report 2024», kostet et datainnbrudd i snitt 45 millioner kroner i fjor. Det er derfor naturlig at en CFO er sentral i å forebygge og håndtere slike hendelser.

Når IT-sikkerheten forankres hos CFO, skjer det noe viktig: Den blir koblet til kost/nytte-vurderinger, risikoanalyser og strategiske prioriteringer. Det er her vi CFO-er har vår styrke. Den må vi bruke også på dette området.

Når IT-sikkerheten forankres hos CFO, skjer det noe viktig: Den blir koblet til kost/nytte-vurderinger, risikoanalyser og strategiske prioriteringer. Det er her vi CFO-er har vår styrke.

IT-sikkerhet er i ferd med å bli en kjerneoppgave for økonomiavdelingen. Stadig flere CFO-er får dette nedfelt i stillingsinnstruksen: Det er ditt ansvar å sikre at virksomheten har et robust forsvarsverk mot cyberangrep og en plan for hva som skal skje om virksomheten blir rammet. Oppgaven krever kunnskap, eierskap, samarbeid og handling.

Innsikt på fem områder

Problemet er at mange CFO-er er passive. Ikke fordi de ikke ønsker å ta ansvar, men fordi de ikke vet hvordan. Ofte mangler det en tydelig prosess for hvordan økonomiavdelingen skal involveres i sikkerhetsarbeidet. Når ansvaret er uklart, blir det fort dyttet videre til IT, satt bort til en ekstern leverandør, eller blir en oppgave under «diverse». Først når noe skjer, når forretningen rammes av løsepengevirus, en lekkasje eller at styret stiller krav, kommer sikkerhetsarbeidet på dagsordenen. Da er det ofte for sent. 

Det finnes heldigvis grep du kan ta i dag. Det første er å få nok innsikt til å stille de riktige spørsmålene. Du trenger ikke være teknisk, men du bør vite:

  • Hvilke systemer og data er mest kritiske for forretningsdriften?
  • Hvilke systemer og data er mest eksponerte?
  • Dersom vi har satt bort IT-driften, hvordan er risiko rundt IT-sikkerhet nedfelt i avtalen.
  • Er vår cyberrisiko kartlagt og vurdert på samme måte som finansiell risiko.
  • Hva vil ulike cyberangrep koste, inkludert et worst case-scenario.

Neste steg er å ta aktivt eierskap – ikke alene, men i samarbeid med IT, ledelsen og gjerne styret. Cyberrisiko er ikke bare et teknisk problem. Det er en virksomhetsrisiko, på linje med finansiell risiko, markedssvingninger eller regulatoriske endringer. Derfor må sikkerhetsløsningene være forankret bredt i organisasjonen.

Seks effektive sikkerhetstiltak

Deretter bør du lage en konkret plan, og iverksette noen enkle sikkerhetstiltak som har stor effekt:

● Aktiver multifaktorautentisering (MFA) på alle kritiske systemer og brukerkontoer.

● Hold programvare og systemer oppdatert – fjern sårbarheter raskt.

● Begrens administrative rettigheter – minst mulig tilgang per rolle.

● Ta sikkerhetskopier regelmessig og test at de virker.

● Gjennomfør phishing-trening og bevisstgjør alle ansatte.

● Lag en beredskapsplan for cyberangrep – og test den.

Jeg kjenner flere CFO-er som først tok tak i sikkerhetsarbeidet etter at virksomheten deres ble rammet av cyberangrep. De beskriver det som en kaotisk, kostbar og personlig belastende opplevelse. I etterkant har alle den samme erfaringen: Hendelsen kunne vært unngått med enkle tiltak – hvis bare noen hadde hatt eierskap og oversikt.

Gevinstene er store: selskaper med orden på IT-sikkerheten, opplever færre driftsavbrudd, lavere forsikringspremier og andre kostnadsreduksjoner, bedre datakvalitet og høyere tillit fra kunder, samarbeidspartnere og styret.

Økonomistyring er ikke bare tall. Det handler om kontroll, ansvar og bærekraftig drift. Når vi som CFO tar eierskap til sikkerhetsarbeidet, beskytter vi ikke bare selskapets verdier. Vi sørger også for at økonomiavdelingen blir enda mer relevant i årene som kommer. I et stadig mer digitalt næringsliv er god IT-sikkerhet ikke lenger en konkurransefordel – det er en forutsetning for god forretningsdrift.

cfo risikohåndtering nyheter kronikk it-sikkerhet cybersikkerhet økonomistyring
Powered by Labrador CMS