Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Hvordan rapporterer vi til ledelseslagene, hvordan det står til med sikkerheden?
Det er et spørgsmål, jeg har tænkt over, lige så længe jeg har været leder inden for informationssikkerhed. Rapportering om sikkerhed er nemlig ikke enkel at gennemføre.
Det er lettere at rapportere om driftsstatus: ”I sidste måned behandlede vi så mange transaktioner med en oppetid på så mange procent.”
Men hvad er relevante KPI’er (Key Performance Indicators) for sikkerhed? ”I sidste måned behandlede vi nul sikkerhedshændelser?”
Er det udtryk for, at der er styr på sikkerheden? Eller antyder det, at der kan være sikkerhedshændelser, vi endnu ikke har opdaget?
Formålet er at skabe tillid
Det hele handler i sidste ende om tillid.
Formålet med at rapportere er at give ledelsen tillid til, at vi gør vores arbejde bedst muligt. Set fra ledelsens side er formålet med rapportering at sikre sig, at der er styr på sikkerheden.
Så hvordan kan vi kort og præcist give ledelsen et overblik, der giver den mulighed for at afgøre, om alt kører fint, eller om noget skal ændres?
Antallet af sikkerhedshændelser er i sig selv ikke nødvendigvis et tal, der siger noget relevant. Men det kan sættes ind i en sammenhæng.
Hvor mange sikkerhedshændelser behandlede vi i denne måned i forhold til sidste måned? I forhold til samme måned sidste år?
Hvor hurtige var vi til at tage hånd om sikkerhedshændelserne? Hvor lang tid gik der fra første alarm, til vi vidste, hvad der foregik – og til hændelsen var afsluttet?
Hvor lang tid gik der, fra en hændelse blev opdaget, til den blev klassificeret som en sikkerhedshændelse?
Den menneskelige faktor
Arbejdet med informationssikkerhed har tre aspekter: Teknologi, procedurer og mennesker. Ofte fokuserer vi på teknologien, når vi rapporterer. Det skyldes, at systemer er nemme at hente tal ud af.
Den menneskelige faktor er imidlertid også vigtig. En medarbejder i bogholderiet kan falde for en svindel-mail og overføre et stort beløb til en udenlandsk bankkonto.
Den slags kan man bekæmpe med uddannelse: Medarbejderne skal lære at genkende typiske svindelforsøg og andre digitale trusler.
Hvordan rapporterer man så om den slags awareness-kampagner?
Det er let nok at finde tal for indsatsen: Vi har udsendt så mange e-learningkurser, så mange medarbejdere har bestået dem.
Det svære kommer, når vi vil rapportere om værdien af indsatsen.
Hvad er værdien af en plakat? Hvor mange har kigget på den – og hos hvor mange har plakaten sat tanker i gang? Gør den en forskel? Hvor mange medarbejdere er som følge af deres uddannelse ikke faldet for phishing-forsøg?
De tal ved jeg ikke, hvordan jeg får fat i.
I stedet kan vi trække på viden fra e-learningsystemet. Det kan være via test, hvor vi undersøger, hvor godt medarbejderne husker budskaberne fra undervisningen.
Nogle af de nye værktøjer til for eksempel phishing-rapportering og awareness-træning har indbyggede funktioner til rapportering. De kan lette arbejdet, fordi de automatiserer en del af rapporteringen.
Har du styr på leverandørerne?
Vores informationssikkerhed står aldrig alene. Den er et produkt af sikkerheden hos os selv og vores leverandører – hele det samlede it-økosystem.
Derfor giver det god mening også at rapportere til ledelsen om sikkerhedsniveauet hos vores vigtigste leverandører.
Her er forberedelse altafgørende: Allerede i kontraktforhandlingerne skal vi sikre, at sikkerhed er inkluderet i aftalen med leverandøren.
Det skal ske i form af konkrete krav – og kontroller, der kan bruges til at sikre, at kravene bliver efterlevet.
Dermed er det oplagt, hvordan man rapporterer om leverandørsikkerhed: Leverandøren rapporterer status på nogle af de centrale kontroller.
Hvis leverandøren udvikler software, kan man for eksempel stille krav om, at de anvender en udviklingsmetode med fokus på sikkerhed. Her kan en KPI være, hvor ofte udviklerne gennemfører trusselsmodellering eller sårbarhedstest.
Nogle KPI’er for leverandører kan være de samme som dem, vi bruger til at måle vores egen indsats.
Skriv i ledelsens sprog
Uanset hvilket element vi rapporterer om, skal vi tage hensyn til modtageren. Vi må skrive i et sprog, modtageren forstår.
Mange topledere har ikke en teknisk baggrund. Derfor skal de tekniske detaljer enten fjernes eller forklares.
Nogle gange får man som sikkerhedsansvarlig mulighed for at fremlægge sin rapport ved et møde direkte med topledelsen. Men oftest afleverer man blot en rapport i en e-mail eller via et dashboard.
Her er det ekstra vigtigt, at indholdet er formidlet med henblik på modtagerens behov: Rapporten skal vise topledelsen, hvor der er godt styr på sikkerheden, og hvor man har brug for øgede ressourcer eller andre indsatser.
Her er det som regel en god ide at fokusere på forretningsmæssige risici. Det er et område, ledelsen forstår og kan tage stilling til.
Topledere er travle folk. Derfor skal du ikke spilde deres tid. Udvælg de mest relevante elementer.
Brug selv rapporterne
Rapportering er ikke kun nyttig for modtageren.
Når jeg udarbejder en rapport, bliver jeg opmærksom på den aktuelle status for vores arbejde med informationssikkerheden. Nogle gange opdager jeg tendenser, jeg ellers ikke ville have set.
Træn dine medarbejdere i at lave månedlige rapporteringer, det gør jeg selv. Dels giver det nyttig viden, dels får de brug for de kompetencer fremover. Jeg venter nemlig, at ledelserne fremover vil stille krav om endnu flere rapporter.
Så selvom det indimellem kan virke som en sur pligt at udarbejde rapporter, kan det være en opgave, der giver reel værdi – både til afsender og modtager.
Hvordan håndterer du rapportering om sikkerhed i din organisation?
'Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
