Microsoft compliance værktøjerne kan understøtte forretningsstyringen af nye digitaliseringsprojekter

Sammenhængen mellem Globeteams nye cloud compliance koncept og Microsoft compliance værktøjerne gør det nemmere at styre virksomhedens digitale transformation

For it-afdelingen kan nye digitaliseringsprojekter hurtigt betyde mere arbejde og flere hovedbrud. Med Fit for Cloud, Globeteams nyudviklede compliance-tilgang, kan virksomheder integrere deres eksisterende GRC-processer med bl.a. Microsoft compliance værktøjer, så de undgår dobbeltarbejde. 

Af: Henrik Bo Christiansen og Henrik Sølvsten, konsulenter i Globeteam

It-medarbejderne i en organisation er drevet af ønsket om at gøre en forskel for forretningen. Ofte ved at bringe flere forretningsdata i spil. Ved hjælp af værktøjer og platforme kan it-afdelingen øge forretningens adgang til data, lave dataintegrationer, bygge tværgående analyser, opsamle data fra nye kilder osv.

Udfordringen opstår, når it-medarbejdernes grundlæggende ønske om at øge digitaliseringen møder det juridiske niveau i en organisation. Compliance (det juridiske niveau) er sat i verden for at er sat i verden for minimere risici f.eks. i forhold til databeskyttelse, standarder eller egentlig lovgivning. Hvis det juridiske niveau ikke kan overskue konsekvensen af eksempelvis at åbne op for brugen af et nyt cloud-værktøj, er det deres ansvar at videreformidle den tvivl til de øverste beslutningstagere. Og derfor ender mange dialoger om øget digitalisering – til stor frustration for de forretningsansvarlige og it-afdelingen – ofte i et forsigtigheds-nej.

Anderledes ville det se ud, hvis en dialog om øget digitalisering kunne tage et helt andet udgangspunkt: Hvis organisationen på tværs af øverste beslutningstagere, de forretningsansvarlige, de juridisk ansvarlige og de udførende it-medarbejdere kunne forholde sig til anvendelsen af ny teknologi, konkrete tekniske foranstaltninger og kontroller til at imødegå risici.

Det er netop denne tilgang, der ligger indlejret i Globeteams nye cloud compliance koncept, Fit for Cloud. Compliance-konceptet gør det muligt for interne interessenter at forankre digitaliseringsdialoger ikke i et helt system, en hel teknologi-stack eller i en hel platform, men i en specifik forretningsproces, alle kan forholde sig til.

Læs beskrivelsen af Globeteams nye cloud compliance koncept, Fit for Cloud.

Tag én forretningsproces ad gangen

En forretningsproces kan brydes ned i roller, regler, applikationer og data. Det er alle sammen velkendte komponenter og it-discipliner for eksperterne på 1. sal. Det nye ved Globeteams Fit for Cloud-koncept er, at man bruger kortlægningen af forretningsprocessens enkeltdele til at lave en samlet risikovurdering forbundet med eksempelvis at flytte arbejdsprocessen i skyen.

På baggrund af den risikovurdering kan beslutningstagerne på 5. sal fastlægge den ønskede risikoappetit og ultimativt beslutte, om de vil sige ja eller nej til at cloud-basere arbejdsprocessen. 5. sal skal altså ikke forholde sig konceptuelt til, om de er for eller imod ny teknologi; de skal forholde sig konkret til risikoscenarioer koblet til en forretningsproces, de kender i forvejen.

Den tilgang sikrer, at man kan modernisere sin forretning én forretningsproces ad gangen. Og at man kan gøre det i et tempo og i en rækkefølge, der flugter med topledelsens strategi, så det bliver virksomhedsbehov og ikke tekniske detaljer, der styrer den digitale udvikling.

Bygget på Microsoft compliance værktøjer

Udover at have styr på roller, regler, applikationer og data har it-medarbejderne også styr på de sikkerhedsforanstaltninger, der skal sørge for, at en forretningsproces bliver beskyttet, overvåget og kontrolleret jf. den ønskede risikoappetit.

En meget stor andel af de danske kunder anvender Microsoft 365-produktfamilien, som selv i basisudgaven indeholder mere end 1.000 branchespecifikke kontrolelementer og opfylder væsentlige internationale, regionale og branchespecifikke standarder. Eksempelvis indeholder Microsoft 365 Enterprise en løsning til dataklassifikation og tilhørende labeling samt evt. kryptering. Implementering af de indbyggede informationsbeskyttelsesløsninger i Microsoft 365 vil effektivt kunne sikre data mod misbrug både internt og eksternt. Sammen med en lang række indbyggede sikkerhedsfunktioner såsom udvidet logning og analyse kan værdien af investeringen i Microsoft-platformen maksimeres. Eksempelvis ved brug af Microsoft 365 Enterprise, som giver adgang til beskyttelse mod mere avancerede trusler, phishing-, zero-day-, ransomvare-angreb m.m.

Nogle af foranstaltningerne i Microsoft compliance værktøjskassen er baseret på Zero Trust-sikkerhedsprincipperne. Under overskrifter såsom Identity and Access Management, Endpoint Security samt Data and Information Protection bygger Zero Trust på løbende kontrol af de brugere og enheder, der forsøger at tilgå virksomhedsdata.

Læs mere om Zero Trust her.

Èt af de vigtigste argumenter for at implementere Globeteams cloud compliance koncept er, at det kan bygge videre på de Governance-, Risk- og Compliance-processer (GRC), der allerede er etableret i en virksomhed. Med udgangspunkt i Microsoft compliance værktøjskassen etablerer vi alle de nødvendige kontroller og afleverer dem til virksomhedens egne sikkerhedsansvarlige, så de selv kan sætte dem op og lade dem indgå i deres sikkerheds- og compliance-årshjul.

Undgå at handlingslamme organisationen

Hvis it-afdelingen i en organisation skruer for højt op for sikkerhedsmekanismerne på en platform, bliver forretningen de facto handlingslammet, og så har it-understøttelsen ingen værdi. Tværtimod møder man ikke andet end intern modstand, hvis it-afdelingen spænder sikkerhedsskruerne for hårdt.

Med Fit for Cloud vil vi gerne sætte forretningen og it-medarbejderne fri til at udvikle virksomheden efter de mest moderne principper, der findes på markedet. Men vi vil også gerne have juristerne og topledelsen med på rejsen, for det er i sidste ende dem, der har ansvaret for, at løsningerne lever op til compliance-krav, sikkerhed og lovgivningen.