Kristian Thaysen, daglig leder i Agenda Risk, ble før jul intervjuet av Dagens Perspektiv om hvordan virksomheter kan forberede seg på et risikobilde som er under stadig endring.
Sikkerhetsbransjen kommer virksomhetene i møte med gode oppskrifter på hvordan dette kan, eller bør, gjøres gjennom måling og rapportering av cyberrisiko. Anbefalingene gis i en verden hvor toppledelsen i de fleste virksomheter forstår at informasjons- og cybersikkerhet må tas på høyeste alvor, men hvor mange finner det utfordrende å håndtere dette i praksis.
Med «håndtere» menes i denne sammenheng at de faktisk forstår innholdet i anbefalingene som gis, og at de klarer å etablere forståelige styringsparametere for hvordan virksomheten prioriterer innsatsen knyttet til informasjons- og cybersikkerhet.
«På den annen side kan man samtidig snu på det og stille spørsmål om anbefalingene som gis er dimensjonert riktig, og om kommunikasjonen er tilpasset mottaker», sier Roger Ølstad, leder for Agenda Risk sine tjenester innen informasjons- og cybersikkerhet.
Gjennomføring av en modenhetsvurdering, hvor virksomheten kan evalueres mot «god praksis» og gjerne hvordan sammenlignbare virksomheter gjør det, er ofte blant anbefalingene.
«Basert på det jeg har sett gjennom over 17 år i informasjonssikkerhetsbransjen, både som rådgiver og «utøvende» i linjen, er det min vurdering at toppledelse og styre ikke uten videre skal kaste seg over en modenhetsvurdering. Modenhetsvurderinger kan være kostbare og gi begrenset effekt dersom virksomheten ikke har en klar formening om hvilke verdier som må beskyttes og prioriteringen av disse», fortsetter Roger.
En modenhetsvurdering for cyber- og informasjonssikkerhet kan være et godt verktøy for å måle virksomheten mot bestemte referanser, samt hvilke forutsetninger den har for å jobbe målrettet og effektivt med de rette utfordringene. Samtidig kan den bli kostbar og gi lite verdi dersom ikke virksomheten har en god formening om egne verdier – altså hva som faktisk skal beskyttes. Uten dette er det ikke mulig å prioritere innsatsen. Mange modenhetsvurderinger gjennomføres dessverre uten en klar oppfatning av denne grunnleggende forutsetningen. Modenhetsvurderingen blir dermed ofte en rapport som i varierende grad og kun ut ifra et generelt ståsted, beskriver en virkelighet som allerede er kjent for virksomheten.
Før det eventuelt gjennomføres en omfattende modenhetsvurdering for cyber- og informasjonssikkerhet må du som toppleder gjøre to ting. Som styremedlem kan du bruke disse to momentene som utgangspunkt for dine kontrollspørsmål til ledelsen.
Ta overordnet eierskap til hva som skal beskyttes
Toppledelsen må bidra aktivt i identifikasjonen av virksomhetens viktigste informasjonsverdier og IT-systemer. Fra et overordnet perspektiv handler dette om hvilke forretningsprosesser og data som skal beskyttes, hvordan disse skal prioriteres samt hvordan roller og ansvar for informasjonssikkerhetsarbeidet i virksomheten skal organiseres. Dette må være basert på strategiske satsingsområder og forretningsmessige målsettinger.
Etterspørre konkrete indikatorer for kvaliteten på risikostyringen
Toppledelsen må vise interesse for og stille forventninger til IT-risikostyringen i selskapet. Ikke bare fra IT-avdelingen, men også fra de ulike operative delene av virksomhetene. Start med å stille følgende to spørsmål til nærmeste underordnede leder/ledergruppe:
- Har du kontroll på risiko forbundet med cyber- og informasjonssikkerhet innenfor ditt ansvarsområde? Hvis svaret er «ja» vil et godt oppfølgingsspørsmål være hvordan både organisatoriske, teknologiske og menneskelige[1] aspekter da er dekket og ivaretatt?
- Er det identifisert noen risikoreduserende tiltak som skal innføres? Hvis svaret er «ja» vil et godt oppfølgingsspørsmål være hvor mange tiltak som ikke er «lukket» og hvor lenge disse har ligget slik.
Til disse to overordnede aktivitetene kreves rett kompetanse hos toppledelsen. Virksomhetens styre bør samlet sett ha kompetanse til å stille disse kontrollspørsmålene og vurdere svarene som mottas fra ledelsen. Agenda Risk sin undersøkelse om kompetanse i norske styrerom fra 2020 viste at det uten tvil er sterk kompetanse i norske styrerom, men at svært få norske store virksomheter synes å ha styremedlemmer med tung kompetanse fra fagområder som for eksempel informasjonssikkerhet. Det så heller ikke ut til å være mange med tung kompetanse innen risikostyring generelt.
Ta kontakt dersom du ønsker å diskutere hvordan vi kan støtte toppledelsen eller styret med å vurdere risikostyringen av cyber- og informasjonssikkerhet.
[1] Eksempel på organisatoriske faktorer er selve organiseringen av informasjonssikkerhet, tydelige beskrivelser av rammeverket for informasjonssikkerhetsarbeidet, roller, ansvar, kommunikasjonslinjer og rapportering. Eksempel på teknologiske er tilgangsstyring, sikring av nettverk og kommunikasjonslinjer og beskyttelse mot ondsinnet programvare. Eksempel på det menneskelige perspektivet er bakgrunnsundersøkelser ved ansettelse, opplæring og kulturutvikling.
Send en forespørsel
Du kan gjerne fylle ut kontaktskjema under og vi vil ta kontakt med deg.