Sikkerhet har flyttet seg – men ikke organiseringen
Sikkerhet er ikke lenger et støtteområde. Tre av fire virksomheter vurderer det som viktig eller svært viktig i strategien, og hele 94 prosent opplever at betydningen har økt de siste to årene. Nesten like mange forventer at utviklingen vil fortsette.
Sikkerhet har med andre ord flyttet inn i styrerommet. Likevel er det et tydelig misforhold mellom ambisjon og gjennomføring. Mange virksomheter har løftet sikkerhet opp på agendaen, men har i mindre grad tilpasset styringsmodeller og organisering. Resultatet er at sikkerhet formelt sett er et lederansvar – uten at det fullt ut styres som det.
En ny risikobølge – drevet av avhengighet og teknologi
Samtidig endrer risikobildet karakter. Hele 88 prosent av respondentene peker på leverandør- og tredjepartsrisiko som en sentral bekymring, mens 81 prosent er bekymret for misbruk av kunstig intelligens.
Dette representerer en strukturell endring. Virksomheter opererer i stadig mer komplekse økosystemer, hvor sårbarheter i én del av verdikjeden kan få konsekvenser langt utover egen organisasjon. Samtidig gjør kunstig intelligens det mulig å skalere og automatisere angrep i et helt annet tempo enn tidligere.
Kunstig intelligens vil akselerere trusselbildet og gi aktører med lav kapasitet betydelig større gjennomføringsevne. – Anonym respondent
Et økende gap mellom risiko og beredskap
Det er bred enighet om at risikoen øker. 94 prosent mener cybertruslene har blitt mer alvorlige, og 87 prosent forventer at virksomhetens samlede risiko vil øke fremover. Samtidig oppgir 69 prosent at de har god evne til å oppdage og håndtere hendelser.
Dette peker på et underliggende spenn: Virksomhetene styrker sin egen kapasitet, men ikke raskt nok til å holde tritt med utviklingen i trusselbildet. Når over halvparten – 56 prosent – samtidig mener at norske virksomheter er dårlig eller svært dårlig forberedt, og ingen vurderer beredskapen som god, fremstår dette som et strukturelt gap snarere enn et midlertidig etterslep.
Fragmentering svekker evnen til å håndtere reelle hendelser
En viktig forklaring ligger i hvordan sikkerhetsarbeidet er organisert. Kun 18 prosent opplever god integrasjon mellom fysisk sikkerhet og cybersikkerhet, mens 35 prosent vurderer integrasjonen som dårlig eller svært dårlig.
Dette er ikke bare et organisatorisk problem, men et operasjonelt. Truslene virksomheter står overfor i dag er sammensatte – digitale, fysiske og menneskelige dimensjoner opptrer samtidig. Når sikkerhetsarbeidet er delt opp i siloer, svekkes evnen til å forstå og håndtere nettopp denne typen hendelser.
Mennesket – den vedvarende sårbarheten
Samtidig peker undersøkelsen på et mer grunnleggende forhold: Mennesker forblir en av de største sårbarhetene. Halvparten av respondentene vurderer innsidetrusler som en betydelig risiko, og 56 prosent beskriver sikkerhetskulturen som middels.
Dette indikerer at mange virksomheter fortsatt ikke har etablert en robust sikkerhetskultur. Teknologiske investeringer har hatt høy prioritet de siste årene, men kultur, adferd og ledelsesforankring utvikler seg langsommere – til tross for at det ofte er her utfallet av hendelser avgjøres.
Kompetanse som konkurransefortrinn – og begrensning
Kompetanse fremstår som en nøkkelfaktor. 63 prosent mener de har riktig sikkerhetskompetanse internt, men samtidig opplever 69 prosent at det er krevende å rekruttere.
Dette gjør kompetanse til et strategisk spørsmål. For noen virksomheter vil det være et tydelig konkurransefortrinn – for andre en begrensning for hvor raskt de kan utvikle sin sikkerhetsevne.
Et mer geopolitisk og uforutsigbart trusselbilde
Bak utviklingen ligger også større strukturelle drivere. Sikkerhetslederne peker særlig på misbruk av kunstig intelligens, økende sårbarhet i leverandørkjeder og et mer geopolitisk drevet trusselbilde. I tillegg trekkes påvirkningsoperasjoner, desinformasjon og økende digital kompleksitet frem som faktorer som forsterker risikoen ytterligere.
Dette bidrar til et mer uforutsigbart landskap, hvor skillet mellom sikkerhet, politikk og forretning i økende grad viskes ut.
Sikkerhet må ledes – helhetlig
Undersøkelsen peker i én klar retning: Fragmentert og reaktivt sikkerhetsarbeid er ikke lenger tilstrekkelig.
Et helhetlig trusselbilde må håndteres samlet – der personell-, fysisk og digital sikkerhet sees i sammenheng. – Anonym respondent
For toppledere innebærer dette et tydelig ansvar. Sikkerhet kan ikke delegeres bort som et spesialistområde, men må styres som en integrert del av virksomheten – på linje med strategi, finans og drift.
Hva bør toppledere gjøre nå?
For toppledere handler dette i økende grad om styring og prioritering. Sikkerhet må forankres tydelig i toppledelse og styre, med klare eierskap og jevnlig oppfølging. Samtidig er det avgjørende å etablere et helhetlig risikobilde som oversetter tekniske vurderinger til forretningsmessige konsekvenser.
Videre må virksomheter redusere sårbarhet i leverandørkjeder gjennom bedre innsikt og løpende oppfølging, samtidig som de tar en mer aktiv rolle i å forstå og styre risiko knyttet til kunstig intelligens. Like viktig er behovet for å bryte ned siloer i sikkerhetsarbeidet, slik at fysisk, digital og personellmessig sikkerhet håndteres samlet.
Til slutt peker undersøkelsen på betydningen av kultur og kompetanse. En sterk sikkerhetskultur må bygges over tid og forankres i ledelsen, mens tilgang på riktig kompetanse vil være avgjørende for å lykkes i årene som kommer.
Om BackerSkeie
BackerSkeie har gjennom de siste ti årene rekruttert et betydelig antall sikkerhetsledere til ledende virksomheter i både privat og offentlig sektor. Gjennom dette arbeidet har vi etablert et omfattende nettverk innen fagområdet, noe som også gjenspeiles i den sterke responsen på denne undersøkelsen.
