Sikkert nok? Blogg om informasjonssikkerhet

Informasjonssikkerhet krever ledelsens støtte – slik får du den

[fa icon="calendar"] 27. juni 2019 / av Jakob Holm Hansen

Det har etterhvert blitt et etablert faktum at man ganske aktivt må få med ledelsen på nye forretningsinitiativ. Dette gjelder også for informasjonssikkerhet. Støtte fra beslutningstakerne er helt avgjørende for utvikling og drift av eksempelvis et compliance-program. Men hvordan går man frem for å få den støtten? Vår CEO kommer her med fem konkrete råd til deg som er ansvarlig for informasjonssikkerheten.

"Sørg for å ha ledelsens støtte."

Slik er ofte svaret når ansvarlige for informasjonssikkerheten spør kollegaer om hvordan de kan skaffe til veie de nødvendige ressursene til et implementeringsprosjekt eller generelt vedlikehold av virksomhetens compliance-program. Men dette gode rådet har etterhvert blitt sagt så mange ganger at det har mistet sin verdi. Sikkerhetsansvarlige har mer bruk for innsikt i hvordan ledelsen forstår og prioriterer informasjonssikkerhet – som et forretningsområde blant andre forretningsområder i virksomheten.

Det har vår CEO, Jakob Holm Hansen, omsatt til fem gode råd som kan gjøre det lettere for deg som sikkerhetsansvarlig å få ledelsens oppbakking til å gjennomføre viktige sikkerhetsinitativ.

1. Få taletid

Først og fremst må du som sikkerhetsansvarlig skaffe deg taletid. Det kan du for eksempel gjøre ved å innkalle ledelsen til en workshop – eller kall det gjerne et møte, hvis det er letter å få de med på et slikt. Alternativt kan du snakke med din leder og be om mulighet til å snakke på et ledermøte, der ledelsen allikevel er samlet. Der det tidligere kunne være vanskelig å få taletid, ber ledelsen i dag oftere og oftere de sikkerhetsansvarlige om en orientering rundt arbeidet med informasjonssikkerheten. Om du tar initiativ selv eller blir bedt om å delta på et møte, virker det mest overbevisende dersom du proaktivt kan presentere en plan for organisasjonens compliance-program. Det handler om å demonstrere kontroll og oversikt til ledelsen, slik at de føler seg trygge.

2. Bruk realistiske scenarier

Ledelsen i en virksomhet kan ikke nødvendigvis sette seg inn i informasjonssikkerhet på samme nivå som en sikkerhetsansvarlig. Så hvis en sikkerhetsansvarlig begynner å snakke om
avanserte malware-trusler, utenlands spionasje og hva som ellers finnes av fargerike måter å forholde seg til IT-sikkerhet på, er det en viss risiko for at de dropper ut. Det er lettere å forholde seg til temaet hvis det er basert på realistiske scenarier knyttet til virksomheten.
For eksempel, hva vil det bety for virksomheten dersom vi får stans i produksjonen, hvis kundene blir misfornøyde, dersom selskapet ikke kan lansere det forventede produktet i fjerde kvartal, osv. Det handler om å omsette IT-trusler til forretningstrusler.

3. Informasjonssikkerhet er en prosess – ikke et prosjekt

Ledelsen forstår godt at eksempelvis markedsføring og salgstiltak er noe som må gjøres med jevne mellomrom i en kontinuerlig prosess. Men de kan ha vanskelig med å forstå at vedlikehold av informasjonssikkerhet også må skje på samme måte. Det kan godt være at implementeringen av en ny sikkerhetsstandard har karakteren av et prosjekt, men så snart prosjektfasen er over, blir vedlikehold av sikkerhetsstandarden en del av et compliance-program, som må overvåkes og utvikles kontinuerlig. Ledelsens tendens til å betrakte informasjonssikkerhet som isolerte prosjektforløp, må utfordres av deg som sikkerhetsansvarlig. Ellers vil du ikke få nødvendig støtte og oppbakking til å drive dette fremover som et compliance-program, slik det bør være.

4. Mandat til å håndtere fallgruver med det samme

Det er ingenting som forsinker en prosess mer enn 'fallgruver' som plutselig kan oppstå. Dette gjelder særlig hvis du som sikkerhetsansvarlig ikke har mandat til å håndtere disse på stedet og derfor må vente på en avgjørelse fra ledelsen. Forsøk å identifisere mulige fallgruver og snublesteiner tidlig og presenter dette for ledelsen. Det kan f.eks. være team-medlemmer som ikke kan, eller vil, delta på planlagte sikkerhetsmøter. Skal du planlegge utenom de nevnte medarbeidere? Har du lov til å trekke de inn i prosessen allikevel? På denne måten kan ledelsen selv være med og prioritere oppgavene og allokere de nødvendige ressursene.

5. Presenter løsninger for ledelsen

Når du som sikkerhetsansvarlig får taletid hos ledelsen, må du være oppdatert og 'sharp' på det du presenterer. Det er absolutt fornuftig å presentere et generelt trusselbilde og scenarier som risikerer å gi en negativ innvirkning på virksomhetens drift. Men en ledelse også svært interessert i løsningen på disse utfordringene og hva det eventuelt vil koste. Derfor må du møte godt forberedt, presentere situasjonen, inkludert planen som sikrer virksomhetens drift. Hvis du ikke har en godt forberedt og løsningsorientert plan, vil du sannsynligvis bli bedt om å komme tilbake om noen måneder.

 

Bevar oversikten med et årshjul for informasjonssikkerhet

Vi anbefaler at man legger compliance-oppgavene inn i et årshjul. Årshjulet gir deg full oversikt over oppgavene og gjør det enklere å dokumentere ressursbehovet.

I vår seneste guide beskriver vi hvordan du bygger opp et årshjul til compliance-programmet.

Hent guiden og få oppskriften her

  Bygg et årshjul for informatsjonssikkerhed 

 

 

Emner: årshjul, compliance-program, informasjonssikkerhet

Sikkert nok?

NorthGRC blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg