Computerworld News Service: Industrispionage. Overholdelse af regler og love. Pludseligt uvejr. Credit default swaps.
Der er risici alle vegne, og hvis du kun fokuserer på at minimere dem, der befinder sig i it-afdelingen, så er du gået glip af noget afgørende.
Med lidt omtanke og ved at følge disse fem råd kan du som it-chef faktisk hjælpe din virksomhed til at tage risici, der kan betale sig, og endda selv få gavn af det.
1. Fej først for egen dør
Selvfølgelig bør du identificere og lægge planer for hændelser, der kan påvirke din evne til at levere en stabil, tilgængelig og sikker it-infrastruktur, der kan gendannes efter et eventuelt nedbrud.
Men du er også nødt til at være opmærksom på risici, udover ting som indbrud på netværket og kompromitterede data der direkte har at gøre med it-afdelingen.
Udvid perspektivet og se efter, hvor i hele organisationen teknologi kan spille en rolle i forhold til at beskytte - eller blotte - aktiver.
"Det er min erfaring, at mange it-afdelinger faktisk kun tager stilling til it-perimeter-risici, eller tab på grund af kompromitterede data, men at ingen rigtigt gør noget ved immaterielle rettigheder," siger Brian Barnier, der er risikorådgiver hos ISACA og ledende analytiker hos ValueBridge Advisors.
Sørg desuden for at understrege risiko-prioriteterne for dine it-medarbejdere, for det er muligt, at de har et mere snævert billede af truslerne, end du har.
2. Det handler ikke (kun) om compliance
Jo, det er selvfølgelig en vigtig del af risikostyringen at overholde Sarbanes-Oxley, HIPAA og alle andre eventuelt relevante regler og love.
Men det skal ikke være omdrejningspunktet for din tilgang til risikostyring.
"Når vi taler om risiko-indsigt, så handler det om it-chefens forståelse for, at han eller hun leverer den centrale it-infrastruktur, der understøtter forretningen, og forståelse for alle de ting, der repræsenterer en risiko," fortæller ledende analytiker Bill Kobel fra Deloitte.
Frem for kun at fokusere på compliance så stil dig selv det spørgsmål, om du har de rette folk og den rette teknologi til at være på forkant med markedet.
Har du stirret dig blind på compliance og løber rundt med papirer flyvende om ørerne, så har du mistet blikket for de forretningsmæssige mål, mener Barnier.
Sådan sætter du dig igennem hos top-ledelsen
3. Risikostyring er en mulighed for karriereudvikling
It-chefen er i en god position til at stille sig i spidsen for en mere avanceret tilgang til risikostyring på tværs af hele virksomheden.
Det er især i virksomheder, der er meget afhængige af it-drevne processer, at it-chefen har bedst adgang til information.
"Jo bedre it-chefen forstår forretningsprocesserne og hvordan forretningen afhænger af it, des bedre kan it-chefen sætte sig igennem hos den øverste ledelse, angående hvordan risikostyringen gribes korrekt an," siger Barnier.
En it-chef, der har implementeret en it-orienteret ramme for risici, "kan let bruge denne ramme til at fremme en risikostyring på tværs af hele virksomheden," tilføjer han.
Det kan både være til gavn for it-chefen personligt og hjælpe virksomheden til at øge de dele af omsætningen, der giver det største overskud, ved at tage risici, hvor det kan betale sig.
4. Du skal ikke opfinde den dybe tallerken
Selvom der ikke er nogen vej uden om at bruge tid og energi på at sætte sig ind i alle de risici, der er forbundet med alle relevante teknologier og forretningsaktiviteter, så findes der adskillige systemer og standarder, der kan udgøre grundlaget for en god praksis.
Her bør man for eksempel stifte bekendtskab med Risk-IT fra ISACA (der er bedst kendt for it-governance-frameworket COBIT) samt ISO 31000.
Men anvend disse systemer med omtanke, advarer Kobel.
Det sker ofte, at specialister i en virksomhed hver især forstår forskellige aspekter af et framework - såsom sikkerhed, privacy, driftskontinuitet eller compliance - og at det derfor ender med at blive brugt på, hvad han kalder et sterilt, taktisk niveau til at kontrollere og opstille krav, i stedet for at være knyttet an til hvordan virksomheden faktisk drives.
5. Kig dine forretningsprocesser efter i sømmene - det gør dine modstandere
Om du selv kæder risikostyringen direkte sammen med forretningsprocesserne eller ej, så skal du vide, at det gør dine modstandere.
Der er ifølge Kobel folk med slette hensigter, der søger efter sårbarheder ved at kigge på din virksomheds grundlæggende driftsmæssige adfærd, på din virksomheds produkter og tjenester, og på den måde prøver at regne ud, hvordan de kan angribe virksomheden enten ved hjælp af social engineering eller gennem dens infrastruktur.
Det samme gælder i øvrigt internt:
Medarbejdere med skadelige hensigter "har indgående viden om forretningsprocesser og kan således bevæge sig mellem revnerne for på den måde at undgå den interne kontrol og opnå deres mål," forklarer han.
"Det, de gør, er at angribe de forretningsmæssige aspekter."
Oversat af Thomas Bøndergaard
