Maurice Stebila fick vd:ns mejl omkring midnatt, med frågan om han – som då var it-säkerhetschef – hade hört talas om det senaste omtalade cyberhotet.
– Han hade ingen aning om att vi redan tittade på det där, säger Maurice Stebila.
Han hade redan regelbundna samtal med vd:n och andra i ledningsgruppen, men det där sena mejlet bidrog till att han gjorde slag i saken och började skicka ut en veckorapport om cyberhot till den högsta ledningen.
– Jag ville säkerställa att de visste att vi hade koll på de här hoten, så jag bestämde mig för att agera proaktivt och dela information med dem regelbundet och ganska frekvent, istället för att de skulle behöva komma till mig, fortsätter Maurice Stebila, nu ordförande för CxO InSyte, ett eventföretag för konferenser och liknande riktade till it-säkerhetschefer.
På hans förra jobb använde Maurice Stebila den nya veckorapporten till att förse cheferna med en överblick över vad som hänt under de senaste sju dagarna när det gäller cybersäkerhet, men särskild fokus på hot och sårbarheter som skulle kunna påverka den egna organisationen. Han såg alltid till att inkludera sådant som skapat rubriker under veckan som gått och menar att de här rapporterna blev en viktig del av arbetet med att skapa medvetenhet kring it-säkerhetsfrågor.
Det finns goda skäl för Maurice Stebila och andra it-säkerhetschefer att vässa sin rapportskrivarförmåga.
Andra chefer i ledningsgruppen, styrelseledamöter och andra företagsledare har blivit allt mer intresserade av säkerhetsfrågor under det senaste decenniet.
Att det finns ett intresse och en oro översätts dock inte automatiskt till en bättre förståelse för hur en effektiv funktion för cybersäkerhet fungerar. Bättre rapporter kan bidra till att överbrygga det glappet.
Välformulerade och vältajmade rapporter kan hjälpa ledningsgruppen att förstå vad som händer i omvärlden när det gäller cybersäkerhet och hur detta påverkar företaget – något som i förlängningen leder till bättre beslut.
Anpassa till din målgrupp
Rapporter om cybersäkerhet styrs varken av regelverk, praxis eller tradition, som exempelvis kvartalsrapporter eller andra rapporter ofta är. Som it-säkerhetschef har du full kontroll över när du ska rapportera, till vem och över vad rapporterna ska innehålla.
Det är dock inte läge att se de här rapporterna som helt informell kommunikation, fri från alla krav.
Experter menar att it-säkerhetschefer bör ta fram rapporter på ett sätt som ger största möjliga värde till företaget och pekar på att det är viktigt att anpassa texterna beroende på mottagarnas förförståelse gällande it-säkerhet.
– Om du skriver en rapport till din cio ser den inte likadan ut som när du skriver till din vd eller till styrelsen, här måste du hantera helt olika kunskapsnivåer, säger Bruce deGrazia, ansvarig för programmet om cybersäkerhet på University of Maryland Global Campus.
– De här rapporterna ger it-säkerhetschefer möjlighet att förmedla information och faktiskt påverka människor, men det är viktigt att komma ihåg att den information du ger måste vara relevant för mottagaren, fortsätter Tim Rawlins, chef och senior rådgivare på it-säkerhetsföretaget NCC group.
– Rapporterna måste engagera den som läser dem, det är engagemanget som är vägen till att påverka andra i rätt riktning.
För att avgöra vem som ska få rapporterna måste man ta hänsyn till organisationens kultur och struktur. En del it-säkerhetschefer skickar rapporterna enbart till sin chef, oavsett om det är en cio, vd eller annan person i ledningen, eftersom deras företag uppmuntrar att man strikt följer organisationens hierarki.
– I de fallen blir ofta rapporteringen om cyberhot en del av cio-rapporteringen och inte något som separeras, menar Bruce deGrazia.
Andra distribuerar rapporterna betydligt bredare – med hela ledningsgruppen, medarbetarna på avdelningen för it-säkerhet och ibland också styrelsens ledamöter på sändlistan. Det senare är särskilt relevant i företag där styrelsen har tillsatt en särskild underkommitté som fokuserar på cybersäkerhet, eller om företaget är föremål för särskilda regleringar på området. It-säkerhetschefen kan också välja att bara distribuera rapporterna till styrelsen i särskilda fall.
– Om rapporten handlar om ett högnivåhot så ser en bra, proaktiv it-säkerhetschef till att distribuera den rapporten brett, säger Jon Oltsik, senior analytiker inom ESG:s sektion för cybersäkerhet.
Form, funktion och tajming
Det finns inga färdiga mallar för hur en bra hotrapport ska se ut, men det är ändå viktigt att se ser ut som något som gör att människor vill läsa dem, menar Bruce deGrazia.
– Seniora chefer blir överösta med massor av information, och oavsett vilket format du väljer så måste du se till att fånga deras uppmärksamhet.
När det gäller hur ofta rapporterna ska skickas ut så menar experter att det är viktigt med regelbundenhet – oavsett om du skickar dem varje vecka som Maurice Stebila, eller på månads- eller kvartalsbasis.
– Det bästa schemat är ett som matchar organisationens inbyggda tempo, säger Tim Rawlins. Du kan också skapa och distribuera anpassade rapporter till olika målgrupper och med olika utgivningsscheman, baserat på hotnivå och intresse. Du skulle till exempel kunna välja att rapportera till din cio varje vecka och till styrelsen två gånger per år.
En regelbunden och schemastyrd rapportering bör dock inte hindra dig från att skicka ut snabba extrarapporter om angelägna frågor.
– Det går inte att bortse ifrån att saker händer, och att de händer väldigt snabbt, säger Bruce deGrazia. Då måste det kommuniceras uppåt i kedjan så snabbt som möjligt.
Timothy R Campo, chef för applikationer och säkerhet på organisationen ISC2, har sett till att hans rapporter om cyberhot följer bästa praxis som den beskrivs i ramverket NIST 800-53 (en amerikansk standard för it-säkerhet och integritet). Han ser till att styrelsen får rapporter varje kvartal och skickar kortare sammanfattande rapporter till vd, ekonomichef, hans säkerhetsteam, it-avdelningen och en handfull utvalda medarbetare.
Han skickar också ut extra rapporter om akuta cyberhot. Ett exempel är en rapport som tog upp rapporteringen om Solarwindshacket, där han förklarade varför det inte innebar någon risk för ISC2.
– Vi var utsatta för noll risk i det sammanhanget, men jag var tvungen att förklara det på ett tydligt sätt, säger Timothy R Campo.
Rapporten innehöll också de förebyggande åtgärder han vidtagit som ett resultat av SolarWinds.
Det här sättet att hantera rapporter är rakt och enkelt. Timothy R Campo använder olika mallar för de olika rapporterna så att mottagarna vet vilken information de kan förvänta sig när den kommer.
– Jag ser till att de får precis tillräckligt med information, förklarar han. Jag har en bakgrund inom marinen och är van vis rapporter som är korta och koncisa, men tillräckliga för att agera på.
Vad ska vara med?
Rapporter om cybersäkerhetshot bör inkludera hot, sårbarheter, risker och åtgärder för att minska dessa risker. Man bör dock vara försiktig med att gå in på för mycket detaljer.
– Om du listar varenda cyberhot som finns där ute så blir det så omfattningsrikt att det blir meningslöst, säger Bruce deGrazia. Du måste anpassa dina rapporter till just din organisations sårbarheter.
Hotrapporterna bör med andra ord innehålla information om hot som utnyttjar sårbarheter i företagets verksamhet, om vad it-säkerhetsavdelningen gör för att försvara företaget mot hoten och andra åtgärder som vidtas. Dessutom bör rapporterna ta upp större hot och händelser som rapporterats i media eller som påverkat andra i stor utsträckning – om inte annat för att kunna förklara varför just detta hon inte är relevant för just er organisation.
Till sist bör också rapporterna belysa trender eller sådant som kan komma att bli allvarliga hot för företaget i framtiden, allt för att undvika obehagliga överraskningar.
– Ledningsgruppen och styrelsen bryr sig framförallt om det som har en direkt påverkan på dem, säger Jon Oltsik. Här finns också nyckeln till bra rapporter. It-säkerhetschefen måste ha tillräckligt bra koll för att kunna förklara att de här rapporterna pågår men att de inte påverkar oss, medan andra saker mycket väl skulle kunna orsaka skada. Om jag skrev den här typen av rapporter skulle de vara mycket koncisa, tala om vad det handlar om för incident, vem som påverkats, vad vi vet om den, huruvida vi är sårbara eller inte – och om vi är det: Vad gör vi åt det.