Tidligere politibetjent styrker it-sikkerheden i Tryg og i det danske samfund

Desværre går det høje digitale niveau i Danmark ikke hånd i hånd med det lave it-sikkerhedsniveau. Sådan udtaler Tom Engly, Koncernsikkerhedschef i Tryg. I dette portræt fortæller han om, hvordan vi kan styrke it-sikkerhedsniveauet i danske virksomheder.

Tom Engly, Koncernsikkerhedschef i Tryg.

En politimand, der havde arbejdet med efterforskning, narko, cyberkriminalitet og andre grene inden for politiets arbejde. Med det på CV’et startede Tom Engly i Tryg for cirka 17 år siden, hvor han skulle hjælpe med at starte en ny kontorenhed. Her skulle cybersikkerhed sættes højere op på dagsordenen.

Siden har han både haft rollen som CISO og som koncernsikkerhedschef i Tryg. Med det har Tom Engly været med til at drive it-sikkerheden internt i Tryg, som gennem de sidste mange år har gennemgået en stor forandring. I dag er hans primære fokus at hjælpe Tryg med at øge awarenes om forebyggelse ud mod kunderne.

”Tidligere havde vi også it-sikkerhed på agendaen, men det var ikke det første vores CEO tænkte på, når han stod op om morgen. I dag har vi langt mere fokus på det - også i vores bestyrelse. Det er også noget, der er kommet større fokus på i andre organisationer,” fortæller Tom Engly.

Tom Engly har altså gennem de seneste mange år drevet udviklingen indenfor cybersikkerhed i Tryg. Det er samtidig en udvikling, han har observeret og fulgt på tæt hold i det danske samfund blandt andet gennem sin rolle som formand for regeringens virksomhedsforum for Digital Sikkerhed.

”Udviklingen inden for cybersikkerhed har igennem lang tid været en opadgående kurve. Vi er blevet mere og mere digitale. Men sammenlignet med det, har vi et meget lavt sikkerhedsniveau. Desværre går det høje digitale niveau i Danmark ikke hånd i hånd med sikkerhedsniveauet, og cyberkriminalitet har derfor fået en større rolle. Og der ingen tvivl om, at den her kurve har været ekstra stejl de seneste år, da vi ser flere og flere angreb på virksomheder,” siger Tom Engly.

Sådan kan danske virksomheder styrke it-sikkerheden
For Tom Engly, er der ingen tvivl om, at danske virksomheders it-sikkerhed er essentielt. For med et stigende trusselniveau, som kun har udsigter til at stige yderligere, er det vigtigt at danske virksomheder sætter styrkelse af it-sikkerhedsniveauet højt på prioriteringslisten.

En af de ting, der er en forudsætning for, at vi kan skabe bedre it-sikkerhed er, ifølge ham, at man som virksomhed bør have en risikobaseret tilgang til sin it-sikkerhed.

”Det er altid nødvendigt at have risikobaseret tilgang til sikkerhed. Det er fuldstændigt umuligt at løse alle risici på en gang, og man bliver nødt til at prioritere de risici, man har og hele tiden have fokus på dem samt gennemarbejde dem. Det handler først og fremmest om at være på forkant gennem cyber intelligence og arbejde ud fra nogle rammeværker, som dækker alle elementer,” fortæller Tom Engly. 

Samtidig påpeger han, at et andet vigtigt element er, at man i virksomheder skaber en bedre italesættelse af cybertrusler i bestyrelser og ledelser.

”Vi skal også ændre kulturen i forhold til, hvordan vi italesætter cybertruslen til bestyrelser. Jeg læste en undersøgelse, som viser at 86% af alle it-chefer føler sig presset til at nedtone deres virksomheds it-sikkerhedstrusler over for virksomhedens bestyrelse. Det er helt galt. Hvis man ikke fortæller sin bestyrelse, hvad det er for et problem, man står med, så kan man ikke gøre noget ved problemet. Og det er i min verden helt galt og jeg savner, at man fortæller sandheden,” siger Tom Engly.

Udover det, er et nøgleord for Tom Engly: kommunikation. For ham er det også vigtigt at it-medarbejderne i en virksomhed kan oversætte det komplekse it-sprog, så det er forståeligt for bestyrelsen.

”Tit har man et it-nørdet sprog, og det er vigtigt at man kan oversætte det til mere forståeligt sprog. Folk i bestyrelser har oftest ikke it som speciale. Derfor er det vigtigt, at vi formidler det, så det er mere forståeligt, så bestyrelserne kan forholde sig bedre til truslen,” siger Tom Engly. 

Problemet ligger særligt i SMV’er
Selvom cybertruslen truer alle former for virksomheder er der, ifølge Tom Engly, et sted hvor it-sikkerhedsniveauet er særlig udfordret: SMV-segmentet. Det er de mest sårbare virksomheder.

 ”Det er en historie om, at de ikke har de tilstrækkelige ressourcer og kompetencer til at kunne forholde sig til cybertruslen. Og man skal huske på, at ansvaret i sidste ende ligger hos virksomhederne og ikke hos it-leverandørerne, og derfor er det vigtigt at det tages alvorligt af virksomheders bestyrelser og ledelser”, siger Tom Engly og fortsætter:

”Det kan være en trussel på ens eksistens – i særdeleshed i de mindre virksomheder. Vi har flere gange set tilfælde, hvor virksomheder er gået nedenom og hjem på grund af et cyberangreb.”

Samtidig er det ifølge ham vigtigt at fastslå, at store virksomheder også skal tage cybertruslen alvorligt.

”Truslen er lige så stor i de større virksomheder, men de er bare bedre rustet. De har ressourcerne og kompetencerne. Den generelle trussel er alle steder, og det er vigtigt den bliver taget ganske alvorligt af alle virksomheder – uanset størrelsen på virksomheden,” afslutter Tom Engly.