Integreret risikostyring I: Koblingen mellem det strategiske, taktiske og operationelle niveau i én risikostyringsmodel

Gevinsten ved integreret risikostyring

Integreret risikostyring skaber sammenhæng på alle niveauer i beskyttelsen af mennesker, processer og forretningsaktiver.

Af: Gorm Grosen Christiansen, leder af Globeteams forretningsenhed for cyber- og informationssikkerhed

Virksomheders sikkerhedsudfordringer kan formuleres ved hjælp af tre tangenter, der skærer hinanden på forskellige punkter i et koordinatsystem:

1. Forholdet mellem dem, der har risikoejerskabet (strategisk niveau), dem, der skal omsætte risikoejerskabets vilje til handling (taktisk niveau), og dem, der skal udleve og eksekvere på baggrund af handleplaner, politikker og retningslinjer (operationelt niveau)
   Læs artikel neden for
2. Forholdet mellem central og decentral digitalisering. Decentrale forretningsenheder driver oftere og oftere selv digitaliseringsdagsordenen, fordi udbredelsen af navnlig cloud-services har gjort det nemt og hurtigt at anskaffe og implementere it
   Læs artikel 2 “Det decentrale digitaliseringstempo kalder på en ny risikostyringsmodel”
3. Den hyperkomplekse trusselsudvikling. Sikkerhedstruslen er i kraftig vækst, og modstanderne omfatter fremmede statsmagter, ekstremistiske grupperinger, hackere og alt derimellem. Netop fordi trusselsbilledet er så nuanceret, ender mange virksomheder med at håndtere hver trussel i siloer i stedet for at samtænke de analyser og handlinger, der skal minimere sandsynligheden for at blive ramt af angreb
   Integreret risikostyring III: Det hybride trusselsbillede skal indgå i risikostyringsmodellen

Det er tilgangen til den første tangent i koordinatsystemet – koblingen mellem det strategiske, taktiske og operationelle niveau– der bliver foldet ud i denne artikel. Vi kigger nærmere på de andre tangenter i koordinatsystemet i kommende artikler

Læs, hvordan Region Midtjylland har organiseret deres operationelle risikostyring

Flere grunde til afkobling af risikostyringen

Integreret risikostyring er ikke en ny opfindelse. I sikkerhedsverdenen har man i mange år talt om integreret risikostyring, og fordelene forbundet med at binde de forskellige niveauer af sikkerhedsarbejdet sammen i én styringsmodel er selvforklarende. Men hvis tilgangen og fordelene er så åbenlyse, hvorfor kan vi så alligevel tørt konstatere, at det er de færreste virksomheder, der er lykkes med at etablere og drive et integreret risikostyringsprogram?

Kombinationen af det hyperkomplekse trusselsbillede og en galopperende digitaliseringsdagsorden gør sikkerhedsopgaven ekstremt kompleks, hvilket forklarer mange af udfordringerne. Men ikke alle. For der tegner sig også en række øvrige mønstre blandt de virksomheder, som oplever, at den strategiske, taktiske og operationelle risikostyring bliver afkoblet fra hinanden.

For det første er virksomheder i alle sektorer – private som offentlige – blevet ramt af skærpet lovgivning, regulativer og standarder. Det har haft den konsekvens, at virksomhederne benytter rammeværktøjer for at imødegå compliance-kravene, som hver især repræsenterer en helt ny begrebsverden. Det siger næsten sig selv, at når forskellige eller de selvsamme forretningsenheder anvender flere forskellige styringsværktøjer, skaber det forvirring omkring den samlede model, der skal organisere sikkerhedsarbejdet, og der opstår både overlap og huller i opgaveløsningen. Det skaber i særdeleshed forvirring for medarbejderne, der forventes at agere retmæssigt på tværs af alle regelsæt.

For det andet – og i forlængelse af de skærpede compliance-krav – er kommunikationen forbundet med sikkerhedsopgaven mange steder så mudret, at det er blevet svært at bygge bro mellem forretningsenhederne, topledelsen og de centrale funktioner, der orkestrerer risikostyringen. Uden et fælles sprog er det umuligt at få forankret sikkerhedsstrategien dybt i organisationen.

For det tredje kan afkoblingen af risikostyringen forklares gennem kompetenceudfordringer. Der er mange fagligt dygtige personer ansat til at varetage sikkerhedsopgaven rundt omkring i de danske virksomheder. Men deres kompetencer hviler primært – qua et sammensurium af årsagerne skitseret i det forrige – på en faglighed, der stikker mere dybt end bredt. Forstået på den måde at sikkerhedsopgaven traditionelt er blevet defineret gennem silotænkning og siloudførelse af opgaver. Forstå mig ret, vi har bestemt brug for dyb ekspertise, men det giver udfordringer, når trusselsbilledet og digitaliseringsdagsordenen kalder på en mere helhedsorienteret tilgang til sikkerhed, hvor man er nødt til at tænke over, hvilken betydning det har for risikostyringen i øst, når man piller ved noget i vest.

Overblik over niveauerne

Det er centralt for vores arbejde i Globeteam at sikre et samspil mellem det strategiske, taktiske og operationelle niveau:

• Det strategiske niveau forstås som de forretningsenheder, der har risikoejerskabet. Det vil typisk være direktionen og bestyrelsen. Men det kan også være en systemejer eller forretningsejer, som jævnfør decentraliseringen af digitaliseringsdagsordenen måske ikke er ansvarlig i juridisk forstand, men som ejer ansvaret for en forretningsproces
• Det taktiske niveau forstås som de forretningsenheder, der forvalter risikoejernes ansvar. Én af de vigtigste opgaver på det taktiske niveau er at sørge for, at compliance forbliver et middel til at nå et forretningsmål. Compliance-opgaven er – særligt med GDPR – flyttet meget højt op på agendaen. Men hvis sikkerhedsprogrammet og det persongalleri, der skal redegøre for efterlevelsen, er mere optagede af selve dokumentationsopgaven end af den underliggende sikkerhed, fjerner det fokus fra hensigten med at efterleve kravet
• Det operationelle niveau forstås som de lag i organisationen, hvor eksekveringskompetencerne skal realisere den vedtagne strategi i form af taktiske handleplaner. Hvis den operationelle risikostyring er afkoblet fra det strategiske og taktiske niveau, kan de udførende hænder ikke overvåge, måle og respondere på de parametre, der højere oppe i organisationen er blevet defineret som vigtigst for at minimere sikkerhedsrisici og beskytte kerneforretningen

Gevinsten ved at sammenkoble risikostyringen

En integreret risikostyringsmodel skubber en forenklingsdagsorden foran sig. Med alle de udefrakommende faktorer, der hele tiden øger kompleksiteten, er der brug for en tilgang, der kan nedbringe kompleksiteten i risikostyringsmodellen. Hvis det modsatte af integreret risikostyring er silotænkende og siloudførende forretningsenheder, der anskuer organisationen gennem hvert sit objektiv, giver den integrerede tilgang forretningsenhederne ét sæt sikkerhedsbriller, så alle kan stille skarpt på de samme områder på samme tid.

Resultatet er en mere effektivt arbejdende organisation, der opnår en struktureret sikkerhedsstyring med færre ressourcer. På ledelsesniveau slår det igennem som evnen til at træffe rigtige beslutninger på de rigtige tidspunkter. Den evne betyder utroligt meget, når tempoet i den daglige drift kun går op og op – særligt på det taktiske niveau, som er kontekstsættende for opgaveudførelsen på det operationelle niveau.

I Globeteam angriber vi ikke sikkerhedsopgaver med en automatreaktion af analyser, produkter og processer. Målsætningen er at finde et startpunkt for sikkerhedsarbejdet i den unikke case. Startpunktet ligger i den del af forretningen, hvor sikkerhed gør mest ondt lige nu – uanset om det er på strategisk, taktisk eller operationelt niveau.