Vil du vide, hvordan du organiserer din it-sikkerhed
Der er ingen tvivl om, at opmærksomheden om og prioriteringen af informations- og it-sikkerhed fylder mere og mere i de fleste virksomheders ledelse og bestyrelser, og det er bl.a. fordi, at det er gået op for de fleste, at det er nødvendigt at beskytte sine systemer og data, da de er grundlaget for virksomheders fortsatte vækst.
Men hvad er det rette niveau, og hvordan bør en virksomhed organisere sit ansvar? Overordnet set gives svaret jo i ISO27001 standard…
… Men et er teori, et andet er, hvordan gør man så i praksis?
Det er naturligvis rigtig svært at give et ensartet og kogebogssvar på dette, da det afhænger af mange faktorer, hvor bl.a. trusselsniveau, risikovurdering og it-modenhed er helt centrale. Står din virksomhed overfor et højt trusselsniveau, så skal sikkerheden drøftes ofte og indgående ligesom virksomhedens drift ved et højt it-modenhedsniveau er meget afhængigt af, at administrations- og produktionsapparat ikke lammes.
I sådan en situation skal sikkerheden stå øverst på ledelsens agenda. Men størrelsen på virksomheden har naturligvis også en del at sige. Det siger sig selv, at en enkeltmandsvirksomhed ikke har en dedikeret sikkerhedsansvarlig, mens en multinational stor virksomhed ikke bare har en enkelt sikkerhedsansvarlig, men formentlig en hel sikkerhedsfunktion med flere dedikerede medarbejdere.
Organisering
I Danmark ser vi mange forskellige måder at organisere sikkerhedsfunktionen på. Vi ser ofte, at der udpeges en enkelt sikkerhedsansvarlig, der ganske vist i mange tilfælde rapporterer til direktion, men som i praksis taler løn, udvikling og karriere planlægning med CIO’en. Hvilket ikke behøver at være et praktisk problem, hvis CIO’en er sit ansvar bevidst. Det er desværre vores erfaring, at det langtfra altid er tilfældet, og vi får en sikkerhedsfunktion, der hviler et vist pres på at acceptere de beslutninger der foretages i it-afdelingen, hvilket i sagens natur kan være meget kritisk. Den sikkerhedsansvarlige er nødt til at kunne agere uden afhængighed af it-afdelingen, men det giver god mening med et tæt samarbejde, så strategi og mål deles. I en krisesituation er det vigtigt, at der netop ikke er et beslutningshierarki, men at det er den sikkerhedsansvarlige, der alene, kan træffe beslutninger om, hvordan krisen skal løses, ud fra en foruddefineret beredskabsplan.
Om end vi ser en bedring, så oplever sikkerhedsfunktionen ofte, at der er mangel på respekt, og at funktionen anses som en-nej-siger. Det bør ikke være tilfældet. Sikkerhedsfunktionen er ikke søsat for at sige nej, men for at pege på risici og komme med konstruktive forslag til, hvordan risici kan minimeres, så en elegant, nem og simpel løsning kan implementeres.
I og med at størrelse, afhængighed, modenhed, risikovurdering og trusselsniveau er meget forskelligt fra virksomhed til virksomhed, vil jeg derfor ikke give en opskrift, der passer til alle. Og gør man det, forsøger man nok at simplificere et komplekst emne for meget. Derimod vil jeg give dig nogle overliggende retningslinjer, som jeg vil foreslå, at du forholder dig til:
Det starter med ledelse
Få sat it-sikkerhed på agendaen helt i toppen. Jo vigtigere din virksomhedens data er, jo længere I er med digitalisering, jo vigtigere er det, at den sikkerhedsansvarlige har ledelsesmæssig pondus både formelt og i form af den seniority, den sikkerhedsansvarlige har. Det betyder også, at sikkerhed skal med på direktions- og bestyrelsesmøder i en struktureret form, hvor der afrapporteres på en logisk og aftalt facon, og hvor nye projekter risikovurderes efter en velovervejet metodik. For væsentlige funktioner og data er der planlagt og efterprøvet nød situationer. Få skabt en kultur, hvor medarbejdere belønnes for at agere sikkerhedscensorer. Medarbejdere må endelig ikke gå og putte med ”fejl”. De skal indrapporteres hurtigt, så din virksomhed har en chance for at agere rettidigt.
Fokuser på det relevante – med en fast frekvens
Få identificeret de forretningskritiske data og processer. Der er ingen grund til at fokusere på alt. Det kan man ikke. Få implementeret relevante og letforståelige KPI’er, der giver et ensartet grundlag, så den øverste ledelse uddannes til at forstå matricerne og foranlediges til selv at komme med relevante datapunkter. Start hellere for småt end for stort. Det skal ikke blive et mareridt at indsamle og præsentere data. Det skal helst gøres så automatiseret som muligt.
Det er vigtigt, at frekvensen er fast, og at der f.eks. laves et årshjul, så alle ved, hvornår der fokuseres på, hvad. Planlægning er en dyd, men hav også en proces for ad-hoc behandling, da alle erfaringer siger, at innovationskraften er stor indenfor sikkerhedsverdenen.
Der skal udpeges én, der tager ansvar
Det skal være helt klart, hvem der har det overordnede sikkerhedsansvar. Vedkommende bør ikke bare have det overordnede ansvar, men tage det. Forskellen heri er i mine øjne seniority og naturligt lederskab. Nutiden og fremtidens krav til den sikkerhedsansvarlige er mange. Heriblandt at man nuanceret kan forelægge sikkerhedsstatus og problemstillinger frem på bestyrelsesniveau og samtidigt være virksomheden kontinuerlige forandringsleder, f.eks. i forbindelse med awareness, nye trusler, nye processer og nye teknologier. Alt efter størrelse og kompleksitet er det meget muligt, at I har behov for flere ressourcer i sikkerhedsfunktionen, men der bør være én, der tegner sikkerhedsledelsen.
Få regelmæssig ekstern kontrol og sparring
Der skal og bør foretages regelmæssige tjek af eksterne specialister, der kan hjælpe med at udøve kontrol med, at din virksomhed har fået den sikkerhed, som I har planlagt. Jeg opfordrer også til, at man benytter eksterne specialister til at spare og gerne på et så tidligt tidspunkt som muligt, særligt hvis det drejer sig om særligt sensitive data eller vigtige beslutninger. Vigtigheden af den rigtige beslutning må ikke overses.
Fokuser på kernekompetencer
Vi kan, allerede nu mærke, at der er mangel på kvalificerede ressourcer indenfor sikkerhed. Fokuser derfor kun på det absolut vigtigste, og det der hjælper med at drive kernen i jeres forretning. Omgiv dig med virksomheder, der kan supplere jeres kerne kompetencer, og som du har tillid til. Jo bedre de kender jeres forretning, jo bedre kan de også rådgive dig indenfor det, de har kompetencer til. Vil du selv opbygge sikkerhedskompetencer, så vil udbud og efterspørgsel formentlig betyde en hyppig udskiftning og en dermed stor og høj uddannelsesinvestering, der skal påregnes.
Vil du gerne vide mere?
Tag endelig fat i mig eller en af mine kolleger. Vi har siden 2000 rådgivet og hjulpet både danske og internationale virksomheder med at blive mere sikre og kan ud fra den erfaring, komme med vores bud på, hvad I skal fokusere på.