Artikel top billede

Sådan skaber du tillid hos ledelsen: Sørg for at udarbejde rapporter om sikkerhedsarbejdet

Klumme: Rapportering om informationssikkerhed behøver ikke være en sur pligt, men kan give værdifuld viden for både ledelsen og den, der skriver rapporterne. Det skriver Shehzad Ahmad i denne klumme.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Hvordan rapporterer vi til ledelseslagene, hvordan det står til med sikkerheden?

Det er et spørgsmål, jeg har tænkt over, lige så længe jeg har været leder inden for informationssikkerhed. Rapportering om sikkerhed er nemlig ikke enkel at gennemføre.

Det er lettere at rapportere om driftsstatus: ”I sidste måned behandlede vi så mange transaktioner med en oppetid på så mange procent.”

Men hvad er relevante KPI’er (Key Performance Indicators) for sikkerhed? ”I sidste måned behandlede vi nul sikkerhedshændelser?”

Er det udtryk for, at der er styr på sikkerheden? Eller antyder det, at der kan være sikkerhedshændelser, vi endnu ikke har opdaget?

Formålet er at skabe tillid

Det hele handler i sidste ende om tillid.

Formålet med at rapportere er at give ledelsen tillid til, at vi gør vores arbejde bedst muligt. Set fra ledelsens side er formålet med rapportering at sikre sig, at der er styr på sikkerheden.

Så hvordan kan vi kort og præcist give ledelsen et overblik, der giver den mulighed for at afgøre, om alt kører fint, eller om noget skal ændres?

Antallet af sikkerhedshændelser er i sig selv ikke nødvendigvis et tal, der siger noget relevant. Men det kan sættes ind i en sammenhæng.

Hvor mange sikkerhedshændelser behandlede vi i denne måned i forhold til sidste måned? I forhold til samme måned sidste år?

Hvor hurtige var vi til at tage hånd om sikkerhedshændelserne? Hvor lang tid gik der fra første alarm, til vi vidste, hvad der foregik – og til hændelsen var afsluttet?

Hvor lang tid gik der, fra en hændelse blev opdaget, til den blev klassificeret som en sikkerhedshændelse?

Den menneskelige faktor

Arbejdet med informationssikkerhed har tre aspekter: Teknologi, procedurer og mennesker. Ofte fokuserer vi på teknologien, når vi rapporterer. Det skyldes, at systemer er nemme at hente tal ud af.

Den menneskelige faktor er imidlertid også vigtig. En medarbejder i bogholderiet kan falde for en svindel-mail og overføre et stort beløb til en udenlandsk bankkonto.

Den slags kan man bekæmpe med uddannelse: Medarbejderne skal lære at genkende typiske svindelforsøg og andre digitale trusler.

Hvordan rapporterer man så om den slags awareness-kampagner?

Det er let nok at finde tal for indsatsen: Vi har udsendt så mange e-learningkurser, så mange medarbejdere har bestået dem.

Det svære kommer, når vi vil rapportere om værdien af indsatsen.

Hvad er værdien af en plakat? Hvor mange har kigget på den – og hos hvor mange har plakaten sat tanker i gang? Gør den en forskel? Hvor mange medarbejdere er som følge af deres uddannelse ikke faldet for phishing-forsøg?

De tal ved jeg ikke, hvordan jeg får fat i.

I stedet kan vi trække på viden fra e-learningsystemet. Det kan være via test, hvor vi undersøger, hvor godt medarbejderne husker budskaberne fra undervisningen.
Nogle af de nye værktøjer til for eksempel phishing-rapportering og awareness-træning har indbyggede funktioner til rapportering. De kan lette arbejdet, fordi de automatiserer en del af rapporteringen.

Har du styr på leverandørerne?

Vores informationssikkerhed står aldrig alene. Den er et produkt af sikkerheden hos os selv og vores leverandører – hele det samlede it-økosystem.

Derfor giver det god mening også at rapportere til ledelsen om sikkerhedsniveauet hos vores vigtigste leverandører.

Her er forberedelse altafgørende: Allerede i kontraktforhandlingerne skal vi sikre, at sikkerhed er inkluderet i aftalen med leverandøren.

Det skal ske i form af konkrete krav – og kontroller, der kan bruges til at sikre, at kravene bliver efterlevet.

Dermed er det oplagt, hvordan man rapporterer om leverandørsikkerhed: Leverandøren rapporterer status på nogle af de centrale kontroller.

Hvis leverandøren udvikler software, kan man for eksempel stille krav om, at de anvender en udviklingsmetode med fokus på sikkerhed. Her kan en KPI være, hvor ofte udviklerne gennemfører trusselsmodellering eller sårbarhedstest.

Nogle KPI’er for leverandører kan være de samme som dem, vi bruger til at måle vores egen indsats.

Skriv i ledelsens sprog

Uanset hvilket element vi rapporterer om, skal vi tage hensyn til modtageren. Vi må skrive i et sprog, modtageren forstår.

Mange topledere har ikke en teknisk baggrund. Derfor skal de tekniske detaljer enten fjernes eller forklares.

Nogle gange får man som sikkerhedsansvarlig mulighed for at fremlægge sin rapport ved et møde direkte med topledelsen. Men oftest afleverer man blot en rapport i en e-mail eller via et dashboard.

Her er det ekstra vigtigt, at indholdet er formidlet med henblik på modtagerens behov: Rapporten skal vise topledelsen, hvor der er godt styr på sikkerheden, og hvor man har brug for øgede ressourcer eller andre indsatser.

Her er det som regel en god ide at fokusere på forretningsmæssige risici. Det er et område, ledelsen forstår og kan tage stilling til.

Topledere er travle folk. Derfor skal du ikke spilde deres tid. Udvælg de mest relevante elementer.

Brug selv rapporterne

Rapportering er ikke kun nyttig for modtageren.

Når jeg udarbejder en rapport, bliver jeg opmærksom på den aktuelle status for vores arbejde med informationssikkerheden. Nogle gange opdager jeg tendenser, jeg ellers ikke ville have set.

Træn dine medarbejdere i at lave månedlige rapporteringer, det gør jeg selv. Dels giver det nyttig viden, dels får de brug for de kompetencer fremover. Jeg venter nemlig, at ledelserne fremover vil stille krav om endnu flere rapporter.

Så selvom det indimellem kan virke som en sur pligt at udarbejde rapporter, kan det være en opgave, der giver reel værdi – både til afsender og modtager.

Hvordan håndterer du rapportering om sikkerhed i din organisation?

'Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Bliv klar til AI Act: Det vil påvirke både din udvikling, drift og organisation

Fordelene ved at anvende kunstig intelligens bliver stadig mere udtalte, og både som virksomhed og myndighed er det i stigende grad uholdbart ikke at udforske mulighederne. Men der er også risici forbundet på den nye teknologi, og på dette formiddagsseminar ser vi på, hvordan verdens første regulatoriske kompleks – EUs kommende AI Act – adresserer behovet for en etisk, ansvarlig og kontrolleret anvendelse af AI.

20. august 2024 | Læs mere


Det Digitale Produktpas

Kom med og hør om, hvordan du kommer i gang med at sikre din virksomhed er klar til Det Digitale Produktpas. Vi sætter fokus på, hvordan du bliver klædt på til at få styr og struktur på dine data, samt hvilke krav du skal sætte til dine leverandører og andre i din værdikæde, for at sikre den nødvendige information er tilgængelig.

21. august 2024 | Læs mere


Cyber Security Summit 2024

På Cyber Security Summit får du indsigt i det aktuelle trusselslandskab, overblikket over de nyeste værktøjer og trends indenfor sikkerhedsløsninger, indsigt i de relevante rammeværktøjer og krav samt de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

27. august 2024 | Læs mere