Salma Mohamed er konsulent i Digital Risk-teamet og har været ansat hos KPMG i et år. Salma startede sin konsulentkarriere som en del af KPMG Challenger Academy og er også medleder af The Graduate Network, en netværksgruppe for nyuddannede på tværs af større virksomheder i Danmark. Hun arbejder primært med at rådgive klienter om cybersikkerhed og databeskyttelse og har en baggrund inden for datalogi og ingeniørfag med speciale i cybersikkerhed.
Hvordan arbejder KPMG med cybersikkerhed og digitale risici?
Salma: Mit team fokuserer på tre forskellige ekspertiseområder: cybersikkerhed og informationsbeskyttelse, governance-risiko og compliance samt efterforskning. Min rolle er at sikre, at vores klienter udvikler sig i forhold til cybersikkerhedslovgivningen - som f.eks. NIS2. Jeg arbejder grundlæggende med at få kunderne fra ingen eller minimal sikkerhedsopdækning til i det mindste at overholde reguleringskravene. Indimellem arbejder vi også med behandling af hændelser, hvis virksomheder bliver hacket, og hjælper dem til at håndtere risikoen herved.
Vores arbejde strækker sig fra at hjælpe med at opfylde de eksterne regulatoriske krav til at sikre intern uddannelse af medarbejdere. Vi har haft projekter, hvor vi kørte interne phishing-kampagner for at øge bevidstheden om cyberrisici og hvor let det er at blive narret. Dette er så vigtigt, fordi uanset hvor mange systemer eller teknologiske foranstaltninger, du har på plads for at beskytte din virksomhed mod et cyberangreb, så er det et menneske, der kommer til at bryde sikkerhedsbarrieren.
Derfor går størstedelen af min tid i et projekt på kommunikation: at identificere risici og overføre disse risici til et forretningsmæssigt perspektiv som alle kan forstå, for derefter at lave en plan og kortlægge vejen til at sikre mest mulig sikkerhed for kunden.
"Hvis dine medarbejdere ikke er opmærksomme på cybersikkerhed, kommer du til at blive hacket"
Hvad sætter cybersikkerhed på agendaen i virksomheder?
Salma: To ting: at blive hacket og lovgivning. Det er altid interessant at se, hvor hurtigt budgetter kan omallokeres, når først skaden er sket. Heldigvis er det ikke sådan at hele forretningen lukker ned, hvis en virksomhed bliver hacket, men de omdømmemæssige og økonomiske skader, det skaber, er nok til at prioriteterne ændres i den rigtige retning.
Og så er der lovgivning. Virksomheder frygter bøder - 4% af din årlige omsætning eller 20 millioner euro, hvis du ikke overholder GDPR-reglerne! Så når ny lovgivning dukker op, handler virksomhederne hurtigt. Og selvfølgelig påvirker ens kunder også opmærksomheden på at styrke cybersikkerhedsniveauet: Er du blevet hacket? Så kan vi ikke længere stole på jer.
En vigtig note om lovgivning: man hører i stigende grad, at CEO’en og ledelsen vil blive personligt straffet med bøder, hvis der sker et angreb, og det giver mening, da det ofte er dem angrebet rettes imod. Så der bør tages ejerskab over cybersikkerhedsstrategien og tilhørende processer fra øverste ledelse og ikke bare af IT-teamet. Men jeg oplever generelt, at vi ser en øget opmærksomhed på cybersikkerhed fra alle dele af organisationen. Alle har et ansvar, når det kommer til cybersikkerhed.
Er der noget du gerne vil udfordre vores perspektiv på?
Salma: Jeg kan opsummere det i 2 punkter.
1. Vi er ikke alle hackere! Nogle af de personer, der arbejder inden for cybersikkerhed, har ikke engang en teknisk baggrund. For eksempel arbejder vi sammen med psykologer for at forstå, hvad der får folk til at klikke på de links der sendes, fordi når mennesker begår disse fejl, handler det rigtig meget om psykologi. Som menneske har vi grundlæggende meget tillid til andre, og det kan være svært at finde den rette balance mellem niveauet af tillid og risiko, når man arbejder med at beskytte mennesker og organisationer, og samtidig skal sikre at deres arbejdsdag kan fungere. Desuden ville en person med hackerbaggrund have svært ved at kommunikere med ledelsen, fordi ledelsen ønsker typisk at vide, hvor meget tingene koster, ikke hvordan computeren fungerer. Så hackerfærdigheder er gode at have, men ikke en nødvendighed.
2. Hvis dine medarbejdere ikke er opmærksomme på cybersikkerhed, kommer du til at blive hacket. Vi lærer meget af hackere ved at spore, hvad de hacker, og hvordan de gør det, og selvom vi altid stræber efter at holde dem på lang afstand, er sandheden, at hackere altid vil være et skridt foran den organisation eller person, de ønsker at angribe. Sikkerhedsbrud sker også, når folk forsømmer de grundlæggende cybersikkerhedsprotokoller. Er du opmærksom på, at du ikke skal sætte dit password på en post-it? Kunne du alligevel finde på at gøre det? Det er svært at kæmpe imod menneskelige instinkter. Jeg indrømmer, at jeg engang selv har klikket på et phishing-link - det så bare virkelig ægte ud! Der skal skabes stor opmærksomhed omkring cybersikkerhed og informationsikkerhed hos medarbejderne, for at de forstår, at de selv spiller en stor rolle i at bevare sikkerheden.
Hvilken betydning har cybersikkerhed for virksomheder?
Salma: Cybersikkerhed er altafgørende for om en virksomhed kan bestå - så betydningsfuldt er det. Det er en konkurrencefordel for nogle brancher og et absolut krav for andre. For energi-, telekommunikations- og finanssektoren, der arbejder med national og kritisk infrastruktur, kan et sikkerhedsbrud ødelægge og påvirke hele Danmark. Blot en enkelt time med et nedbrud, kan koste enormt meget, både økonomisk og omdømmemæssigt. Cybersikkerhed beskytter følsomme data, forhindrer nedbrud, opretholder tilliden fra kunderne og beskytter - afhængigt af organisationen – den nationale og kritiske infrastruktur.
Hvad elsker du allermest ved dit job?
Salma: Jeg blev vild med cybersikkerhed, fordi det kombinerer de to ting, jeg virkelig godt kan lide: computere og hvordan man holder sig sikker. Det er spændende at arbejde inden for et felt, der er så dynamisk og konstant udvikler sig. Jeg kan tydeligt se effekterne af mit arbejde hos de mennesker, det hjælper.
Jeg har altid haft en forkærlighed for IT, og jeg drives af at lære nyt hver dag, så at kunne interagere med forskellige kunder og forbedre mine færdigheder fra det ene projekt til det næste er det, jeg elsker mest ved at være konsulent hos KPMG. Der er konstant mulighed for at udvikle sig, og jeg uddanner mig løbende internt ved at tage på kurser og opnå certificeringer. Jeg troede ikke, at jeg ville kunne lide at være konsulent, men det matcher fuldstændigt mine interesser.
Jeg er virkelig motiveret for at være med til at skabe betydningsfulde forandringer ved at hjælpe virksomheder og ved at klæde mennesker på til at navigere sikkert i en digital verden – både for min skyld, for mine børn og for den næste generation.
"At kunne interagere med forskellige kunder og forbedre mine færdigheder fra det ene projekt til det næste er det, jeg elsker mest ved at være konsulent hos KPMG"
Salma Mohamed
Consultant, Digital Risk
KPMG i Danmark