5 gode råd til bedre kommunikation af it-sikkerhed med din ledelse

IT-Sikkerhed er en svære disciplin som kræver det rette mix af tid, viden og ihærdighed, men mest af alt ressourcer til tekniske løsninger og manpower. Mange organisationer er mere fokuseret på drift end på it-sikkerhed og når alle mand er i maskinrummet for at smøre hjulene så er der ingen i udkigsposten til at spotte isbjerget.

Det samme gælder for ledelsen som er optaget af forretningsudvikling og regner med at it-sikkerhed er noget it afdelingen klarer. Intet kunne dog være længere fra sandheden. Da it-sikkerhed kræver et stor ressourcetræk på mange afdelinger i organisationen, er det kun ved en komplet forankring og ejerskab hos ledelsen at it-sikkerhed – eller risikoen for brud herop – kan mitigeres til et acceptabelt niveau.

Engager ledelsen for at få tildelt de rette ressourcer

Det er således ledelsen (bestyrelsen, direktionen, ejer-lederen) som kan tildele de ressourcer der er nødvendige til at implementere projekter og således forbedre it-sikkerheden i organisationen. Vi møder mange eksempler på at den forretningsmæssige risiko ved it-sikkerhed er ukendt for særligt ledelsen hvorfor håndteringen af denne risiko således først mitigeres når ulykken allerede er sket.

At kunne kommunikere klart og tydeligt om it-sikkerhed samt de risici der er forbundet til eventuelle brud på denne er derfor alfa omega for en it-sikkerhedsafdeling, når det kommer til engagere ledelsen og således også få allokeret ressourcer til opgaven. Nedenfor har vi samlet 5 gode råd til hvordan du kan gribe denne situation an:

1. Lav en analyse af organisationens metrisk målbare niveau af it-sikkerhed efter et anerkendt rammeværk som fx CIS 20 eller NIST CSF. Denne score er udgangspunkt for det nuværende niveau af it-sikkerhed.
   
   Har man ikke selv ressourcerne til at udarbejde en analyse kan vi hjælpe jer med en 1-dags analyse eller en større 3-4 dages analyse. Kontakt Christian Schmidt på chrschmidt@deloitte.dk eller 30 93 60 09 og få mere information
2. Forlæg analysen, som viser det nuværende niveau af it-sikkerhed, for ledelsen og vurder sammen i hvilken grad den udgør en forretningsmæssig risiko. Formuler et projekt der har til formål at sænke din risici forbedre det nuværende it-sikkerhed.
3. Sørg for, at ledelsen tager ejerskab for projektet og tildeler de nødvendige ressourcer til at nå den accepterede risiko inden for den formulerede tidsramme. Forløbet implementeres som en række målbare projekter, der gradvist bliver til processer og politikker for it-sikkerheden i organisationen.
4. Lad organisationens IT-afdeling (og andre udførende afdelinger) udføre projekterne. Sørg for en kontinuerlig rapportering på fremdrift til ledelsen, som kan lave korrigerende tiltag, hvis der opstår problemer med at nå den målsatte risiko inden for den formulerede tidsramme.
   
5. Vurder løbende den acceptere risiko (i form af den målsatte it-sikkerheds score) og justerer den evt. baseret på trusselsbilledet og organisationens udvikling, fx fusion, vækst eller andet. Processen skal ses derfor ses som en løbende proces, der fortsættes fra A, B eller C.

Søger du inspiration til hvordan du rent praktisk kan sparke liv i denne proces så kan du se vores tre webinarer om hvordan du gør it-sikkerhed målbar. Læs mere og se webinarerne her:

• Hvordan gør du it-sikkerhed målbar og hvilke fordele giver det?
• Kritiske it-sikkerhedsmetrikker som alle CISOer er afhængige af
• Ledelseskommunikation af it-sikkerhed - Et bud på god praksis