Jeg er CFO – og plutselig ansvarlig for sikkerheten. Hva nå?

Jeg kjenner mange CFO-kollegaer som nå enten har fått eller er på vei til å få ansvaret for virksomhetens sikkerhet. Noen har det formelt i stillingsinstruksen – andre mer uformelt, fordi det “falt naturlig” at CFO også tar seg av IT og risiko. Og midt i alt dette sitter mange av oss og lurer:

“Hva nå?”

Jeg er CFO i Sicra – et spesialisert cybersikkerhetsselskap. Selv har jeg ikke operativt ansvar for vår sikkerhet – vi har dyktige fagfolk som tar seg av det. Men jeg forstår hvor overveldende det kan være for en CFO som plutselig får dette ansvaret – ofte uten ressurser, erfaring eller støtteapparat.

CFO + sikkerhet = virkelighet

Det finnes lite offentlig statistikk på hvor mange CFO-er i Norge som faktisk har ansvar for sikkerhet, men signalene er tydelige: Rollen er i endring.

Ifølge aksjeloven har toppledelsen – ofte delegert til CFO – et formelt ansvar for å sørge for at sikkerheten er ivaretatt. Dette gjelder også når drift og IT er satt ut til eksterne som beskrevet i digi.no. Samtidig understreker PwC i sin Cybercrime Survey at samarbeid mellom CISO og CEO er avgjørende for effektiv sikkerhetsstyring. Med andre ord: Strategisk ledelse må være med – og CFO-rollen sitter midt i kryssilden mellom strategi, risiko, budsjett og forretningskritiske vurderinger.

Et godt eksempel er TOMRA, hvor CFO Eva Sagemo også fikk ansvar for informasjonssikkerheten. Etter et alvorlig cyberangrep i 2023 understreket hun hvor viktig det er at CFO-er med IT-ansvar forstår både systemer og trusselbildet (BackerSkeie).

Hva gjør du da – som CFO?

Her er noen refleksjoner jeg gjerne deler med deg som står i eller foran denne virkeligheten:

1. Du trenger ikke vite alt.
   Men du må forstå nok til å vite hva du ikke vet. Spør. Lær. Og bygg et minimumsnivå av forståelse for trusler, avhengigheter og hva som faktisk står på spill. Som økonomer er vi vant til å tenke risiko og konsekvens. Bruk dette til å bedre forstå trusselbildet, herunder finansielle risikoer knyttet til et sikkerhetsbrudd.
2. Du må eie risikoen – men ikke alene.
   Sørg for at sikkerhet ikke blir et “sidespor” i økonomiavdelingen. Få med deg IT, HR, ledelse, styret. Et sikkerhetsbrudd er aldri bare et teknisk problem – det er et forretningsproblem.
3. Vær proaktiv.
   Ikke vent til du står midt i et angrep eller en revisjonsanmerkning før du reagerer. Start arbeidet nå. Be om hjelp, og bygg relasjoner med folk som kan dette bedre enn deg.

Trenger du noen å sparre med?

I Sicra jobber vi med sikkerhet – hele dagen, hver dag. Vi vet hvor komplekst det er. Vi vet også at ikke alle virksomheter har behov eller budsjett for en CISO på heltid. Derfor tilbyr vi CISO-for-hire – en fleksibel måte å få tilgang til tung sikkerhetskompetanse uten å bygge det selv.

Og kanskje enda viktigere: Vi har folk du kan snakke med. Som kan forklare. Oversette. Prioritere. Så du som CFO slipper å stå alene i et fagfelt du egentlig aldri ba om å få ansvar for.