Den galopperende digitaliseringsdagsorden og dens påvirkning på risikostyring
Integreret risikostyring skaber sammenhæng på alle niveauer i beskyttelsen af mennesker, processer og forretningsaktiver
Af: Gorm Grosen Christiansen, leder af Globeteams forretningsenhed for cyber- og informationssikkerhed
Virksomheders sikkerhedsudfordringer kan formuleres ved hjælp af tre tangenter, der skærer hinanden på forskellige punkter i et koordinatsystem:
- Forholdet mellem dem, der har risikoejerskabet (strategisk niveau), dem, der skal omsætte risikoejerskabets vilje til handling (taktisk niveau), og dem, der skal udleve og eksekvere på baggrund af handleplaner, politikker og retningslinjer (operationelt niveau)
- Forholdet mellem central og decentral digitalisering. Decentrale forretningsenheder driver oftere og oftere selv digitaliseringsdagsordenen, fordi udbredelsen af navnlig cloud-services har gjort det nemt og hurtigt at anskaffe og implementere it
- Den hyperkomplekse trusselsudvikling. Sikkerhedstruslen er i kraftig vækst, og modstanderne omfatter fremmede statsmagter, ekstremistiske grupperinger, hackere og alt derimellem. Netop fordi trusselsbilledet er så nuanceret, ender mange virksomheder med at håndtere hver trussel i siloer i stedet for at samtænke de analyser og handlinger, der skal minimere sandsynligheden for at blive ramt af angreb
Det er tilgangen til den anden tangent i koordinatsystemet – koblingen mellem central og decentral risikostyring – der bliver foldet ud i denne artikel.
Læs, hvordan Region Midtjylland har organiseret deres operationelle risikostyring
Decentrale forretningsenheder hjemtager digitaliseringsdagsordenen
I årevis var it-afdelingen nærmest nødt til at overtale forretningen til at bruge teknologi for at øge innovationskraften, styrke samarbejdet, skabe mere effektive arbejdsgange og så videre. Den epoke kan vist roligt siges at være forbi. I dag er det i høj grad forretningen selv, der efterspørger it og teknologi i jagten på konkurrencefordele.
Den seneste udvikling er, at digitaliseringsdagsordenen ikke kun bliver drevet frem af centrale forretningsbeslutninger. De decentrale forretningsenheder indkøber i stigende grad selv den it, de har brug for. Digitaliseringens brændstof er netop friheden til at sætte fart i udviklingen og meget hurtigt komme i luften med ny it – særligt cloudløsninger har gjort det nemt at anskaffe og implementere ny teknologi. Hvis de tiltag gang på gang bliver bremset af et centralt styret it-bureaukrati af sikkerhedspolitikker, kan det hurtigt skabe konflikter. I værste fald kan konflikterne føre til, at de decentrale forretningsenheder begynder at omgå sikkerhedspolitikkerne, fordi de oplever dem som en irriterende spændetrøje. Omgåelse af sikkerhedsreglerne er selvfølgelig aldrig tilladt. Men det sker. Og i dag, hvor digitaliseringen dikterer et helt andet tempo i forretningsudviklingen, sker det oftere, når der opstår en ubalance i risikostyringen mellem de centrale og decentrale risikoejere i en organisation.
Opgiv de gamle risikostyringsdogmer
En del af opskriften på, hvordan man rent sikkerhedsmæssigt imødekommer den galopperende digitaliseringsdagsorden er, at it-afdelingen skal opgive forestillingen om, at de skal kontrollere alt. Det skal de ikke, for det kan de ikke. Tankegangen er ganske enkelt ude af trit med virkeligheden og holder derfor ikke længere som risikostyringsprincip. It-afdelingen skal mere betragte sig selv som facilitatorer af risikostyringen. Det vil sige, at de skal orkestrere samarbejdet mellem det centrale risikoejerskab på den ene side og det decentrale risikoejerskab på den anden side og sørge for, at den ønskede risikoappetit bliver forhandlet ordentligt på plads.
Som en konsekvens af den direkte involvering af de decentrale forretningsenheder i risikostyringen er det nødvendigt, at der bliver foretaget performancemålinger af, om forretningsenhederne nu også agerer som aftalt. Hvis man sætter dem fri til at handle mere autonomt – og det er grundlæggende en god ide og helt nødvendigt for at bevare konkurrenceevnen – er opsætningen af performancemålinger, det centrale risikoejerskabs eneste mulighed for at sikre, at de vedtagne politikker og retningslinjer bliver overholdt. Performancemålinger skal i denne sammenhæng forstås som frekvensvis rapportering baseret på metrikker, der kan afdække i hvor høj grad organisationen følger de aftalte spilleregler der er forankret i politikker og retningslinjer Det kan eksempelvis være spilleregler vedrørende medarbejderes og ikke-medarbejderes systemadgange, overholdelsen af juridiske aftaler, medarbejdernes ageren i forbindelse med rejseaktivitet til højrisikolande osv. Der kan i princippet måles på alt, og ofte kan performancemålingerne endda automatiseres, så de ikke resulterer i en administrativ byrde. Incitamentet til at overholde regelsættet i de decentrale forretningsled er klart: For hvem ønsker at være den person eller det team i organisationen, der ikke bare får alarmklokkerne til at bimle, men som også må finde sig i, at regelbruddet bliver åbenlyst for alle. Performancemålinger og den transparens disse giver virker adfærdsregulerende og opfordrer indirekte det decentrale risikoejerskab til at tage mere af det ansvar, de selv efterspørger.
Opbygning og vedligeholdelse af sikkerhedsopgaverne
For persongalleriet i it-afdelingen handler det som sagt om at træde ind i deres nye rådgivende og orkestrerende rolle som balancestang mellem risikoejerskabet på tværs af organisationen. Derudover skal it-afdelingen fokusere på at opbygge og vedligeholde en robust sikkerhedsarkitektur samt drifte en fleksibel analyse-, overvågnings- og responskapacitet i et security operations center-setup (SOC).
It-afdelingen skal beskrive de sikkerhedsprincipper, der understøtter tænkningen og behovene for digitalisering i de decentrale forretningsenheder. Hvad må vi, og hvad må vi ikke, når vi eksempelvis implementerer en ny cloudløsning? Med et så nuanceret og avanceret trusselsbillede kan det ikke lade sig gøre at kigge overalt i infrastrukturen hele tiden. De risikobaserede sikkerhedsprincipper skal gøre det lettere at kigge de rigtige steder hen, når man opsætter overvågningspunkter på infrastrukturen, ligesom sikkerhedsprincipperne også er dem, der skal sikre, at der bliver reageret rettidigt og korrekt i tilfælde af en sikkerhedshændelse.
Balanceringen af det centrale og det decentrale risikoejerskab er et vigtigt skridt på vejen mod en mere moderne, integreret risikostyringsmodel, som ikke hænger fast i fortidens siloopdeling af ansvar, men kan rumme fremtidens forretningsudvikling.
Stay safe, start smart
Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”.
Her kan du gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave.
Læs mere her om vores nye temarække
