Är du en av alla CISO:s som håller på att drunkna i Excel?
Emelie Thörnell
Cybersecurity Consultant
”Nu när året lider mot sitt slut har äntligen alla verksamheter i organisationen lämnat in sina årliga statusrapporter över verksamhetens risker och det är dags att börja analysera resultatet. Men hur ska du få ordning och reda bland alla otaliga Excel-dokument som verksamheterna dokumenterat sina risker i? Hur ska du göra för att få fram organisationens samlade riskbild? Var ska du börja nysta och vilket är det lämpligaste sättet att presentera informationen på?” Känner du igen dig i dessa frågor är det troligt att din verksamhet har vuxit ur Excel-arken och är i behov av anpassade it-stöd för att få ordning på organisationens riskbild.
Det kommer med all sannolikhet att dröja innan vi överger Excel som verktyg. Det kan upplevas bekvämt att genomföra t.ex. en riskanalys i ett för ändamålet anpassat Excel-ark. Utmaningen uppstår när det är dags att skapa sig en bild över organisationens samlade riskbild, särskilt i en stor och komplex organisation.
I samband med riskanalysarbetet ställer sig organisationer många gånger frågor kring:
- Vilka är de största riskerna i vår organisation?
- Hur hanterar vi riskerna och vilka aktiviteter ska vi genomföra – behöver vi arbeta med att öka riskmedvetenheten hos personalen eller fokusera på tekniska åtgärder?
- Hur ska vi presentera resultatrapporter som är anpassade för beslutsfattare och andra målgrupper?
Detta är frågor som alla branscher berörs av; såväl försvarsindustrin, transportindustrin, och offentliga verksamheter som bankverksamheter, medicinteknikbolag och detaljhandel. Även om riskerna mellan dessa verksamheter förstås skiljer sig åt.
Det absolut enklaste sättet att få kontroll över dessa frågor är att använda ett anpassat GRC-verktyg (1) som kan automatisera möjligheten att mäta, följa upp och rapportera olika riskers status inklusive nyckeltal, KPI:er och KRI:er (2). Med hjälp av GRC-verktyg är det dessutom möjligt att genom funktioner för olika arbetsflöden, påminnelser och eskalering styra compliance- och informationssäkerhetsarbetet i en organisation.
Vi på Nixu får ofta frågor från kunder som vill veta hur väl deras verksamhet efterlever krav i olika regelverk och standarder inom informationssäkerhetsområdet såsom Dataskyddsförordningen (GDPR), NIS-direktivet och ISO 27000-standarden. Behovet av kontroll ökar allt eftersom antalet nya regelverk växer och kraven förändras. Det kan uppstå stora konsekvenser om en organisation inte följer gällande regelverk, både i form av ekonomiska sanktioner och skadat förtroende. I stora organisationer är det lätt att beslut fattas på felaktiga grunder om man inte har effektiva verktyg som stödjer analysarbetet. Det blir helt enkelt för svårt att upprätthålla den kvaliteten på informationen som krävs för att fatta väl underbyggda beslut och göra rätt vägval.
Den största nyttan som dessa verksamheter ser i användandet av GRC-verktyg är snabba och enkla analyser för att kunna fatta korrekta beslut, strukturerade arbetssätt med integrerade arbetsflöden och en effektivare arbetsprocess.
Så, vart börjar man? Vi hjälper dig så klart med införandet, men i korthet kan processen för att införa ett GRC-verktyg se ut så här:
1. Formulera mål, behov och krav: Börja med att klargöra vad syftet med att implementera ett GRC-verktyg är och vad organisationen vill uppnå. Identifiera vilka behov verksamheten har och formulera krav på GRC-verktyget utifrån dessa behov.
2. Upprätta en plan: Skapa en plan för hur införandet av GRC-verktyget ska gå till, vilka delar av organisationen som ska omfattas och under vilken tidsperiod olika steg i införandet ska ske.
3. Identifiera kompetensbehov: Identifiera vilken kompetens, t.ex. inom informationssäkerhet, riskanalys och juridik, ni behöver och har tillgång till.
4. Genomför pilotprojekt: Påbörja arbetet successivt, små steg i taget och sätt gärna det nya GRC-verktyget på prov i ett pilotprojekt.
5. Utvärdera: Utvärdera pilotprojektet och inför ev. justeringar i planen (och vid behov även målbilden).
6. Fortsätt arbetet: Fortsätt införandet enligt plan baserat på erfarenheter från pilotprojektet. Arbetet kan behöva justeras och itereras ytterligare under hela införandets gång.
Tröskeln att gå över till ett nytt arbetssätt och ett nytt it-stöd kan ibland upplevas som hög. Vi på Nixu har stor kompetens inom förändringsledning och har länge arbetat med att skapa acceptans kring nya digitaliserade arbetssätt i olika organisationer. Inledningsvis kan det underlätta att anlita en eller flera experter som har genomfört processen att gå från Excel till smarta GRC-verktyg många gångar tidigare. Vår erfarenhet på området gör att vi alltid börjar där din organisation befinner sig just nu och arbetar med successiv implementering. Vi tillhandahåller inga egna GRC-verktyg, utan hjälper dig att anpassa eventuella befintliga it-stöd i din organisation utifrån de behov ni har. Behöver ni hjälp att köpa in ett nytt GRC-verktyg har vi dessutom lång erfarenhet av att arbeta med kravställning. Det finns flera exempel på GRC-verktyg på marknaden såsom ServiceNow, Archer, BWise, MetricStream, Rsam, Opensource-verktyget Eramba m.fl. Läs gärna om hur vi jobbade med Lantmännens införande av ServiceNow.
Så är du en av alla CISO:s som håller på att drunkna i Excel, använd ett verktyg för GRC! Maila mig på Emelie.Thornell@nixu.com så berättar jag mer.
[1] GRC = Governance, Risk, Compliance
[2]KPI och KRI = Key Performance Indicator och Key Risk Indicator