8 frågor varje CFO bör ställa till sin CIO om IT-säkerhet

Så får du koll på riskerna och skyddar affären mot cyberhot 

En cyberattack kan kosta ett företag mellan 20 och 40 miljoner kronor. Men bristande IT-säkerhet kan också få andra kostsamma konsekvenser i form av läckta kunduppgifter, förlorad data eller bristande förtroende. Så här kan du som CFO samarbeta med din CIO för att koppla digitala initiativ till de affärskritiska målen. 

Digitaliseringen har på kort tid öppnat nya möjligheter för både sättet att arbeta, göra affärer och möta kunder. Digitala lösningar förenklar och effektiviserar arbetet – vi kan jobba i princip var som helst, när som helst och fortfarande ha tillgång till alla viktiga system och funktioner.  

Samtidigt har AI klivit in på arenan där inte minst Chat-GPT gett oss verktyg att hantera stora mängder information på ett helt nytt sätt. 

Kan bli en dyr historia 

Men allt detta kommer inte helt utan risker. IT-attacker och dataintrång, förlorad data och bristande IT-säkerhet kan bli en dyrbar historia.  

Enligt en studie från IBM och Ponemon Institute var den genomsnittliga kostnaden för ett dataintrång 4,88 miljoner dollar 2024. Det är en ökning med tio procent jämfört med året innan och den högsta siffran någonsin.  

Svenska experter nämner siffror mellan 20 och 40 miljoner kronor i kostnad för ett företag som blivit drabbat av en cyberattack. Men hur stora siffrorna verkligen blir beror på företag och bransch. 

Digitaliseringen har på så vis i högsta grad även blivit en fråga för ekonomichefen. Och efterfrågan på ledare inom ekonomi med god IT-kunskap ökar.

– Eftersom cyberattacker utgör en stor ekonomisk risk har CFO:er en viktig roll inom cybersäkerhet, säger Johan Alsén, VD på Invici som fortsätter:  Vi märker också en ökad trend från kunder som letar efter ledare som kan samarbeta med sin CIO och förstå deras verksamhet. 

IT och ekonomi hänger ihop 

Idag är IT-säkerhet och business i praktiken samma sak. När man fattar strategiska beslut behöver man även kalkylera hur digitala risker påverkar affären. Detta är något som varken en CFO eller CIO klarar var för sig – bäst resultat får man om ekonomi och IT slår sina påsar ihop. Genom att jobba tätt tillsammans som ett team ökar nämligen sannolikheten för att de digitala satsningarna sker i linje med de affärsmässiga och under mer rimliga ekonomiska förutsättningar.  

Enligt Gartner har ett gott samarbete mellan CFO och CIO bevisade effekter. När ekonomi och IT samarbetar på riktigt är de exempelvis 21 procent mer benägna än andra att vara transparenta i sin digitala kostnadsstruktur. Genom att driva frågorna gemensamt skapar de även en gemensam förståelse för hur digitala initiativ bidrar till värde i förhållande till dess kostnader. 

Dessutom innebär en stark och välfungerande relation mellan CFO och CIO: 

• 51 procent högre sannolikhet att hitta finansiering för digitala initiativ.
• 39 procent högre sannolikhet att hålla digitala utgifter inom budget.
• 18 procent högre sannolikhet att uppnå avsedda affärsresultat. 

Pratar olika språk 

Men det är långt ifrån alltid som det här samarbetet fungerar bra.  

Enligt Gartner finns det ofta ett glapp mellan rollerna som kan leda till missförstånd. CIO:erna tror att de förstår hur teknologin påverkar företagens ekonomi och CFO:er tror att de förstår hur ekonomistyrningen måste anpassas för att stödja företagets digitalisering – medan de i själva verket pratar förbi varandra. 

Som CFO kanske man inte heller känner sig bekväm i sättet att beskriva, mäta och följa upp arbetet som IT använder sig av.  

Hur kan man då som CFO vässa sin förståelse för kopplingen mellan ekonomi och IT-säkerhet?  

För det första är det viktigt att få insikt i de stora säkerhetsriskerna med digitala initiativ: Hur skyddar vi oss mot intrång? Hur säkerställer vi att verksamheten har robusta och effektiva processer kring IT-säkerhet? Kan affärskritisk information förfalskas, krypteras eller gå förlorad?  

Det handlar dock inte om att du som CFO även måste bli expert på IT. Däremot behöver du skapa ett bra samarbete med IT och lära dig att ställa de relevanta frågorna som ger dig insikt i bolagets IT-säkerhet och riskhantering.  

Fem områden där CFO kan ta en aktiv roll inom cybersäkerhet: 

• Förstå cybersäkerhetsrisker 
• Utveckla en cybersäkerhetsplan 
• Upprätta en budget för cybersäkerhet 
• Tilldela resurser till området
• Övervaka cybersäkerhetsprestanda 
  

Risk i förhållande till kostnader 

I samarbetet med IT handlar det även om att hitta gemensamma sätt att definiera, mäta och följa upp digitala investeringar. Prata ihop er kring förväntningar på hur teknik ska användas för att främja företagets strategi och för en dialog kring hur digitala investeringar påverkar företagets finansiella resultat. 

Från en CFO:s perspektiv ligger fokus inom IT-säkerhet oftast på risk och avvägningar. Hur mycket risk kan tas i förhållande till de kostnader som satsningar på säkerheten medför? 

– Genom att utveckla en förståelse för cybersäkerhet kan CFO:er också ta en drivande roll i säkerhetsdialogen, utifrån ett affärs- och riskperspektiv. Med högre kunskap inom området bidrar man ju också mer till bolaget och ökar därmed sitt eget värde, avslutar Johan Alsén. 

Åtta frågor som ger dig koll 

Här är frågorna som ger dig som CFO koll på cybersäkerheten: 

1. Hur har vi testat vår förmåga att hantera incidenter? Ta reda på vilka lärdomar verksamheten dragit från övningar och simuleringar och vilka konkreta förbättringar som gjorts.  
2. Hur hanterar vi våra cybersäkerhetsrisker, vilka är involverade? Säkerställ att det finns riskhanteringsprocesser på plats, liksom regelbundna riskbedömningar, hotmodellering och begränsningsstrategier. Ta också reda på vem som underrättas om dessa risker – det kan vara ledande befattningshavare, styrelsen eller specifika intressenter.  
3. Är säkerhetsriskhanteringen integrerad med övrig riskhantering? Integration är nyckeln för en helhetssyn på riskhantering. Cybersäkerheten bör anpassas till affärsmål och det bör finnas en konsekvent riskhantering genom hela organisationen. 
4. Uppfyller vår organisation en specifik standard för säkerhet? Det kan vara exempelvis ISO 27001, NIST CSF, SOC 2 eller CIS Top 18. Standarden bör väljas utifrån din bransch, affärsbehov och organisatoriska risker.  
5. Hur hanterar vi tredjeparts riskhantering? Se till att det finns processer på plats för att utvärdera och övervaka säkerhetspraxis hos leverantörer och partners. Detta inkluderar due diligence, regelbundna revisioner och krav på säkerhetsstandarder.  
6. Vilka betydande undantag från vårt säkerhetsprogram har gjorts för någon avdelning, system eller process? Denna fråga syftar till att avslöja luckor eller undantag i säkerhetsprogrammet. Var vaksam på svar som tyder på bristande tillsyn eller förståelse för de potentiella riskerna. 
7. Vilka är våra nyckeltal för cybersäkerhet och hur spårar vi dem? Vilka rapporterar och granskar dem? Finns det KPI:er för just våra behov? Det kan exempelvis vara antalet upptäckta incidenter, svarstider och resultat av säkerhetsaktiviteter.  
8. Vad är vårt förhållningssätt till hot och underrättelsetjänster och hur använder vi dem för att förbättra vår säkerhet? Ta reda på hur verksamheten samlar, analyserar och agerar på underrättelser om hot. Se till att detta arbete sker integrerat i nyckelprocesser och inte utspritt i verksamheten. 

CFO med cyberskills? 

Behöver du en CFO kunnig inom IT? Då ska du höra av dig till oss på Invici och vårt CFO-nätverk med intressanta profiler. Tillsammans kan vi bygga framtidens ekonomifunktion, exakt när du behöver den!