Bare et godt råd til it-sikkerhedschefen: Tal forståeligt, din fremtid afhænger af det

Klumme: Sådan får du virksomhedsledelsen til at forstå dig, når du taler om it-sikkerhed.

Denne klumme er et debatindlæg og er alene udtryk for skribents synspunkter.

”Vi bør investere i et IDS, der på længere sigt kan udbygges til et IPS. Det er nødvendigt for at imødegå truslen fra APT’er.”

Kan du høre dig selv sige den sætning til dine overordnede? Så har du et problem, som du deler med mange af os sikkerhedsfolk.

Det handler om kommunikation. Som sikkerhedsansvarlig er det mindst lige så vigtigt, at du kan kommunikere klart og tydeligt, som at du har styr på det it-faglige.

Jeg mener ikke, vi kan bebrejde forretningsledelsen, hvis den ikke forstår den sætning, jeg indledte denne klumme med. Det er ikke en direktørs opgave at kende til IDS’er, IPS’er og APT’er.

Jeg vil bede dig overveje fem spørgsmål:

• Kommunikerer du klart med din ledelse?

• Ved din ledelse, hvor virksomheden står i forhold til ressourcer og mål til sikkerhed?

• Ved du selv, hvilken retning sikkerhedsskibet skal sejle?

• Ved dine medarbejdere, hvorfor de møder på arbejde om morgenen?

• Er det dig selv, der er svær at forstå?

Kommunikerer du klart med din ledelse?
Ledere tænker i strategier, taktikker og risici. Derfor er de lettere at få i tale, hvis du taler deres sprog.

I stedet for at tale om APT’er (Advanced Persistent Threats) må du overveje, hvilke konsekvenser truslerne kan få. Så kan budskabet til ledelsen lyde:

”Vi har opdaget nogle angrebsforsøg, der ser ud til at stamme fra en nationalstat. De medfører risiko for industrispionage, hvor vi kan miste vigtige forretningshemmeligheder. Den risiko kan vi mindske ved at investere i mere effektive værktøjer til at beskytte vores værdier.”

Når budskabet er formuleret, så modtageren forstår det, har du større chance for at få de ressourcer, du har brug for.

Ved din ledelse, hvor virksomheden står i forhold til ressourcer og mål til sikkerhed?
Alle vil gerne have nye funktioner. Ingen er interesseret i noget, der gør deres hverdag mere besværlig.

Det er den konstante udfordring for os som sikkerhedsansvarlige: Vi skal sælge budskabet om noget, der sjældent giver nye funktioner, og som nogle gange ligefrem stiller besværlige krav.

Det gør det ekstra vigtigt, at vi er på banen, når virksomheden indfører ny teknologi. Vi skal sørge for, at sikkerhedsvinklen er tænkt ind fra starten, før vi lancerer et nyt produkt eller en ny tjeneste.

Derfor skal ledelsen have at vide, at ethvert it-tiltag skal have et tilknyttet sikkerhedstiltag. Og den skal vide, hvad det koster.

Ved du selv, hvilken retning sikkerhedsskibet skal sejle?
Sidder du indimellem og behandler sikkerhedshændelser i jeres ticket-system? Så bruger du sandsynligvis din tid forkert.

Som ansvarlig for informationssikkerheden er det din opgave at bevare overblikket. Du skal ikke bruge din tid på detaljer.

Du skal vide, hvad vej du ønsker at styre organisationen, når det gælder sikkerhed.

Når du har afgjort det, er arbejdet kun lige begyndt. Næste skridt er at finde ud af, hvordan du gennemfører din strategi.

Ved dine medarbejdere, hvorfor de møder på arbejde om morgenen?
Medarbejderne er dem, der skal udføre strategien i praksis.

Derfor er det altafgørende, at de kender og forstår strategien.

Men det er ikke nok at kende strategien. Den enkelte medarbejder skal også vide, nøjagtig hvad vedkommende skal gøre i praksis, for at vi kan levere på vores strategi.

Det gælder både den overordnede virksomhedsstrategi og den strategi for informationssikkerhed, som du er ansvarlig for.

Hvis dine medarbejdere ikke ved, hvorfor de møder på arbejde, er det sværere at holde på dem. Det er et problem i en tid, hvor det er en udfordring at finde kvalificerede sikkerhedsfolk.

Også de, der ikke direkte arbejder med sikkerhed, skal kende sikkerhedsstrategien og efterleve den. Jo flere der er opmærksomme på sikkerheden, desto færre problemer bliver der, som dine sikkerhedsfolk skal rydde op efter.

Er det dig selv, der er svær at forstå?
Måske har du selv afleveret en sætning i stil med den, jeg skrev i begyndelsen af denne klumme.

Hvis du har oplevet, at topledelsen ikke gav dig de ressourcer, du bad om, er det en anledning til selvransagelse.

Budskabet er rigtigt nok. Der er sikkert heller ikke noget i vejen med ledelsen.

Problemet ligger i den måde, budskabet blev kommunikeret på. Hvis ledelsen ikke har forstået budskabet, er det ikke ledelsen, men budskabet og dermed afsenderen af budskabet, der har fejlet.

Så måske skal dit næste kursus ikke handle om sikkerhedsteknologi – men om kommunikation mellem mennesker?

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
”Vores løsning vil betyde, at du som patient kan tage et billede af en pille med din telefon og herefter få bekræftet, at den medicindosis du er ved at indtage er valid.”
Virkningsløs piratmedicin koster tusindvis af liv hvert år, men it-giganten IBM mener, at den har fundet en løsning på problemet. Bliv klogere på hvordan IBM vil bruge blockchain til at forhindre svindel i medicinalindustrien supply-chain
Computerworld
Se listen: Disse it-virksomheder drømmer de danske it-studerende om at arbejde for
Konsulenthusene buldrer frem på listen over de virksomheder, som de danske it-studerende helst vil arbejde for. "Konsulenthusene har simpelthen øget kendskabet til sig selv som arbejdsgiver blandt de it-studerende. Det kræver heftig aktivitet på de sociale medier og universiteterne," lyder det fra Universum, der står bag undersøgelsen.
CIO
Sådan kan du stå imod, når hackerangrebet rammer: 16 nye anbefalinger fra politiet
En ny vejledning fra Rigspolitiet og Dansk IT skal hjælpe danske virksomheder med at få bedre styr på it-sikkerheden. Se her, hvad du bør gøre før, under og efter du bliver ramt af et hackerangreb.
Job & Karriere
500 uorganiserede it-folk skal holde liv i statens it-systemer under konflikt
Hvis der udbryder konflikt, vil hundredvis af uorganiserede it-folk få ansvaret for at sikre, at de statslige it-systemer ikke går ned. Men ifølge fagforbundet Prosa kan det få store konsekvenser, hvis Danmark bliver ramt af it-sikkerhedsangreb.