Artikel top billede

Tips: Sådan tager du de rigtige beslutninger i it-afdelingen

Risikostyring handler om andet og mere end sårbarheder i it-infrastrukturen. Læs her fem råd om, hvordan du som it-chef forbedrer risikostyringen.

Computerworld News Service: Industrispionage. Overholdelse af regler og love. Pludseligt uvejr. Credit default swaps.

Der er risici alle vegne, og hvis du kun fokuserer på at minimere dem, der befinder sig i it-afdelingen, så er du gået glip af noget afgørende.

Med lidt omtanke og ved at følge disse fem råd kan du som it-chef faktisk hjælpe din virksomhed til at tage risici, der kan betale sig, og endda selv få gavn af det.

1. Fej først for egen dør

Selvfølgelig bør du identificere og lægge planer for hændelser, der kan påvirke din evne til at levere en stabil, tilgængelig og sikker it-infrastruktur, der kan gendannes efter et eventuelt nedbrud.

Men du er også nødt til at være opmærksom på risici, udover ting som indbrud på netværket og kompromitterede data der direkte har at gøre med it-afdelingen.

Udvid perspektivet og se efter, hvor i hele organisationen teknologi kan spille en rolle i forhold til at beskytte - eller blotte - aktiver.

"Det er min erfaring, at mange it-afdelinger faktisk kun tager stilling til it-perimeter-risici, eller tab på grund af kompromitterede data, men at ingen rigtigt gør noget ved immaterielle rettigheder," siger Brian Barnier, der er risikorådgiver hos ISACA og ledende analytiker hos ValueBridge Advisors.

Sørg desuden for at understrege risiko-prioriteterne for dine it-medarbejdere, for det er muligt, at de har et mere snævert billede af truslerne, end du har.

2. Det handler ikke (kun) om compliance
Jo, det er selvfølgelig en vigtig del af risikostyringen at overholde Sarbanes-Oxley, HIPAA og alle andre eventuelt relevante regler og love.

Men det skal ikke være omdrejningspunktet for din tilgang til risikostyring.

"Når vi taler om risiko-indsigt, så handler det om it-chefens forståelse for, at han eller hun leverer den centrale it-infrastruktur, der understøtter forretningen, og forståelse for alle de ting, der repræsenterer en risiko," fortæller ledende analytiker Bill Kobel fra Deloitte.

Frem for kun at fokusere på compliance så stil dig selv det spørgsmål, om du har de rette folk og den rette teknologi til at være på forkant med markedet.

Har du stirret dig blind på compliance og løber rundt med papirer flyvende om ørerne, så har du mistet blikket for de forretningsmæssige mål, mener Barnier.

Sådan sætter du dig igennem hos top-ledelsen

3. Risikostyring er en mulighed for karriereudvikling

It-chefen er i en god position til at stille sig i spidsen for en mere avanceret tilgang til risikostyring på tværs af hele virksomheden.

Det er især i virksomheder, der er meget afhængige af it-drevne processer, at it-chefen har bedst adgang til information.

"Jo bedre it-chefen forstår forretningsprocesserne og hvordan forretningen afhænger af it, des bedre kan it-chefen sætte sig igennem hos den øverste ledelse, angående hvordan risikostyringen gribes korrekt an," siger Barnier.

En it-chef, der har implementeret en it-orienteret ramme for risici, "kan let bruge denne ramme til at fremme en risikostyring på tværs af hele virksomheden," tilføjer han.

Det kan både være til gavn for it-chefen personligt og hjælpe virksomheden til at øge de dele af omsætningen, der giver det største overskud, ved at tage risici, hvor det kan betale sig.

4. Du skal ikke opfinde den dybe tallerken
Selvom der ikke er nogen vej uden om at bruge tid og energi på at sætte sig ind i alle de risici, der er forbundet med alle relevante teknologier og forretningsaktiviteter, så findes der adskillige systemer og standarder, der kan udgøre grundlaget for en god praksis.

Her bør man for eksempel stifte bekendtskab med Risk-IT fra ISACA (der er bedst kendt for it-governance-frameworket COBIT) samt ISO 31000.

Men anvend disse systemer med omtanke, advarer Kobel.

Det sker ofte, at specialister i en virksomhed hver især forstår forskellige aspekter af et framework - såsom sikkerhed, privacy, driftskontinuitet eller compliance - og at det derfor ender med at blive brugt på, hvad han kalder et sterilt, taktisk niveau til at kontrollere og opstille krav, i stedet for at være knyttet an til hvordan virksomheden faktisk drives.

5. Kig dine forretningsprocesser efter i sømmene - det gør dine modstandere
Om du selv kæder risikostyringen direkte sammen med forretningsprocesserne eller ej, så skal du vide, at det gør dine modstandere.

Der er ifølge Kobel folk med slette hensigter, der søger efter sårbarheder ved at kigge på din virksomheds grundlæggende driftsmæssige adfærd, på din virksomheds produkter og tjenester, og på den måde prøver at regne ud, hvordan de kan angribe virksomheden enten ved hjælp af social engineering eller gennem dens infrastruktur.

Det samme gælder i øvrigt internt:

Medarbejdere med skadelige hensigter "har indgående viden om forretningsprocesser og kan således bevæge sig mellem revnerne for på den måde at undgå den interne kontrol og opnå deres mål," forklarer han.

"Det, de gør, er at angribe de forretningsmæssige aspekter."

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Daxiomatic ApS
Salg, udvikling, implementering og servicering af software til ERP

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere






White paper
En opskrift på succes: Automatisér, byg videre på den eksisterende infrastruktur – og sæt kurs mod skyen