Integreret risikostyring
Et stigende trusselsniveau og skærpede lovkrav krævede en samlet tilgang til sikkerhed, der kunne spænde over roller, ansvar og enheder.
Etablering af en koncernfælles risikostyringsmodel samt SOC- og SAC-funktioner.
Region Midtjylland opererer i dag med en integreret sikkerhedsstruktur, der styrker både den strategiske risikostyring samt den operationelle eksekveringsevne.
Integreret risikostyring er Region Midtjyllands svar på skærpede sikkerhedskrav
Flere trusler, mere sikkerhedslovgivning og øget digitalisering presser it-afdelinger overalt. For hvordan skal man nå at reagere korrekt på alle hændelserne, og hvordan organiserer man et sikkerhedsarbejde, der spænder over flere enheder og forretningshensyn? Region Midtjyllands opskrift er en integreret tilgang til sikkerhed, der kombinerer realtidsovervågning, rettidig respons, dybdegående analyser, compliance-behov og etablering af en effektiv governance-struktur.
Region Midtjylland har som deres primære opgave ansvaret for sundhedsvæsenet i det midtjyske område. Regionen driver fem hospitalsenheder, regionens psykiatriske tilbud og det præhospitale beredskab – den del af sundhedsvæsenet, som tager sig af patienter, inden de ankommer til et hospital.
Den faglige overligger for Region Midtjylland er at levere et sundhedsvæsen i verdensklasse, intet mindre. Med en frisk kåring af Aarhus Universitetshospital som klodens 18. bedste hospital må man sige, at regionen i den grad leverer på deres målsætninger.
Ikke desto mindre er Region Midtjylland – i lighed med andre regioner og øvrige leverandører af samfundskritiske tjenester – udfordret af en række faktorer. Blandt andet flere og flere cyberangreb, geopolitiske spændinger, voksende compliance-krav og stigende digitaliseringsbehov på tværs af forretningsenheder.
En integreret sikkerhedsmodel
“På den baggrund har vi valgt at organisere vores sikkerhedsindsats i en virtuelt integreret struktur,” indleder Kenneth Becker, chef for Strategi og Styring og CISO i Region Midtjylland. “Vi har et Security Operations Center – SOC’en – som står for den løbende overvågning af regionens it-systemer, og som kan reagere hurtigt, når der opstår mistænkelig aktivitet eller driftsforstyrrelser. Vi har et Security Analytics Center – SAC’en – som kan gå dybere ned i sikkerhedshændelser og styrke vores evne til at forebygge og håndtere trusler. Og så har vi vores koncernfælles risikostyringsmodel, som sætter rammerne for, hvordan vi arbejder med compliance.”
Mens SOC’en og SAC’en tager sig af den operationelle sikkerhed, har den koncernfælles risikostyringsmodel det overordnede ansvar for, at små og store systemer bliver håndteret efter de samme retningslinjer. Alle større systemer har en systemejer. Men det er ikke op til den enkelte systemejer – eksempelvis en overlæge – at beslutte risikoprofilen for det system. Det er noget, der bliver adresseret på koncernniveau i et udvalgsforum.
“Hvis man er uenig i retningslinjerne, kan man vælge at eskalere hele vejen op til direktionsniveau, men vi har opsat en governance-struktur for, hvad man må og ikke må med klare angivelser af, hvem der er ansvarlig, og hvor beslutningskompetencen ligger i forhold til risici,” siger Kenneth Becker.
Da vi første gang mødtes med en sikkerhedsrådgiver fra Globeteam, viste det sig, at der var et match. Han kom med den rigtige struktur for sikkerhedsarbejdet, han kunne formulere visionerne, og han var troværdig i sin kommunikation. I dag har Globeteam en meget stor aktie i vores tilgang til sikkerhed og risikostyring. Jeg vil faktisk betegne samarbejdet som unikt og uvurderligt for os.
Betroet rådgivning
Tilbage i 2015 fik Region Midtjylland udarbejdet en sikkerhedsrapport, som rummede 41 konkrete forslag til sikkerhedsforbedringer i regionen. Ét af de forslag var oprettelsen af det SOC, som i dag er blevet en realitet.
Med baggrund i rapportens øvrige anbefalinger har Region Midtjylland, målrettet over flere år, gennemgået en intern modningsproces, som har styrket organisationens sikkerhedsniveau markant. I flere af disse år har Globeteam været med ombord som regionens strategiske sparringspartner.
“Da vi første gang mødtes med en sikkerhedsrådgiver fra Globeteam, viste det sig, at der var et match. Han kom med den rigtige struktur for sikkerhedsarbejdet, han kunne formulere visionerne, og han var troværdig i sin kommunikation. I dag har Globeteam en meget stor aktie i vores tilgang til sikkerhed og risikostyring. Jeg vil faktisk betegne samarbejdet som unikt og uvurderligt for os,” siger Kenneth Becker.
Eksterne arme og ben
Han understreger, at nøglen til deres sikkerhedsarbejde består i den integrerede tilgang til risikostyring og risikohåndtering. Sikkerhedskapabiliteterne er ikke placeret fysisk ét sted, eksempelvis i en driftsafdeling, men er organisatorisk forankret på tværs af enheder og funktioner. Den struktur sikrer, at sikkerhed ikke er noget, der bliver håndteret i opdelte siloer. Det er noget, der bliver dybt forankret i regionens it- og forretningsdrift.
Udover den strategiske rådgivning sætter Kenneth Becker også pris på adgangen til fleksible og kompetente ressourcer via Globeteam.
“Der er nogle opgaver, hvor man selv bestemmer tempoet for implementering. Men der er også opgaver, hvor man er underlagt lovgivningen, og hvor det handler om at komme i mål til tiden. Her er Globeteam flere gange trådt til med specialistleverancer, når vi har manglet arme og ben. Eksempelvis i forbindelse med implementeringen af NSIS – den danske fortolkning af EU’s eIDAS-forordning – som var hård at komme igennem, men hvor vi kunne rykke hurtigt, fordi vi havde mulighed for at trække på et hold af eksterne konsulenter,” slutter Kenneth Becker.
Om Region Midtjylland
Region Midtjylland er Danmarks næststørste region med ca. 30.000 ansatte. Regionen driver fem hospitalsenheder, herunder Aarhus Universitetshospital og Regionshospitalet Gødstrup, samt psykiatriske tilbud og det præhospitale beredskab. Regionen betjener ca. 1,3 millioner borgere og håndterer mere end 3,5 millioner patientkontakter årligt. Regionen varetager også specialiserede tilbud til socialt udsatte og handicappede samt løser opgaver inden for regional udvikling.
Kan jeg hjælpe?
Vil du høre mere om, hvordan Globeteam kan hjælpe med at styrke jeres sikkerhedsarbejde, så kontakt mig gerne på +45 6191 3762 eller ppo@globeteam.com
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler