Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Der tales meget om, at der skal være en ledelsesforankring af sikkerheds- og risikostyring, og i forhold til risikostyring, men det er rigtig svært for mange organisationer rent faktisk at sikre det.
I mange organisationer forstår ledelsen i bund og grund ikke risici – og derfor forstår de heller ikke deres rolle eller deres ansvar, når det kommer til prioritering af risici og behandlingen af risici, herunder også ressourcer til behandling af risici.
Dette resulterer i, at ledelsen ikke agerer på risici, hvilket ikke er overraskende, fordi hvordan skal man kunne agere på noget, som man ikke rigtig kender eller forstår?
Både udbredte frameworks som ISO27001 og flere af de nye love som GDPR og nu snart NIS2 kræver en risikobaseret tilgang, hvilket kræver ledelsesforankring af risici.
En risikobaseret tilgang betyder i bund og grund, at organisationen skal identificere, vurdere og forstå alle de risici, som organisationen står overfor, og så prioritere blandt disse risici, således at organisationen håndterer de væsentligste risici først.
Organisationen kan dog også prioritere en række mindre væsentlige risici først, hvis de samlede effekter er mest mulig reduktion af risikobilledet for organisationen.
Den risikobaserede tilgang skal derfor gerne sikre, at organisationen får mest mulig sikkerhed for de tilgængelige ressourcer.
Forudsætningen for en risikobaseret tilgang er kendskab og forståelse hos ledelsen, men også at organisationen rapporterer ensartet til ledelsen om risici.
For mange virksomheder har ledelsen et traditionelt fokus på, hvad der er vigtigt for virksomheden, og dette er ofte et fokus på fx overskud, omkostninger, forsyningskæder eller lignende i forhold til risici, der kan påvirke driften.
Hvis dette er tilfældet, kan det være svært at forklare, hvorfor cyberrisici er mindst lige så væsentlige for ledelsen at forholde sig til i forhold til virksomhedens drift.
Mit yndlingseksempel på dette kan man faktisk finde på Digitaliseringsstyrelsen og Erhvervsstyrelsen portal sikkerdigital.dk: https://youtu.be/z2554-8um7c
Her fortæller indehaveren af Roskilde Teltudlejning om et ransomware-angreb på hans virksomhed, hvilke tanker der løber igennem hans hoved under forløbet, og det han lærte af det.
Videoen er en, som jeg synes at alle ledere i danske virksomheder burde se og tage ved lære af.
En risikobaseret tilgang kræver ledelsens engagement, ensartet metode samt løbende rapportering til ledelsen, samtidig med at alle politikker, procedurer og skalaer er godkendt af ledelsen og kommunikeret klart og tydeligt alle medarbejdere, og det skal sikres, at de ansatte forstår betydningen og vigtigheden af, at de bliver fulgt.
Risikostyring
Det er ikke usædvanligt, at der i driften, i it-afdelingen, hos jura og hos informationssikkerhed rent faktisk arbejdes med risici. Ofte vil hver afdeling dog gøre det på sin egen måde, uden at samarbejde med de andre, og gøre det i eget ”sprog”, så risici ikke vurderes ensartet.
Når afdelingerne arbejder med risici i egne afskærmede områder, opstår der siloer, hvor viden bliver fanget og fastlåst, og ledelsen mister deres evne til at lave risikobaseret ledelse.
Da GDPR ramte de danske organisationer, var det ofte it-afdelingen og jura-afdelingen, der lavede risikovurderinger, og som oftest skændtes de om, hvordan man lavede risikovurderinger rigtigt.
At de ofte misforstod hinanden, fordi de arbejdede med forskellige perspektiver for deres risikovurdering, tog mange steder alt for lang tid at afdække.
Alle disse afdelinger eller områder skal samles således, at de snakker et ensartet sprog på tværs, så de kan rapportere risici ensartet til ledelsen, som hermed kan lave rigtig risikostyring for organisationen. Og det kan de kun, hvis der i organisationen implementeres en ensartet standardiseret metode for risikovurdering og risikorapportering på tværs af hele organisationen.
På tværs af hele organisationen skal der altså udvikles eller implementeres en metode til, hvordan man laver risikovurderinger.
Der skal udarbejdes ensartede skalaer for sandsynlighed og konsekvens, således at risici på tværs af afdelingerne er sammenlignelige. Alt dette skal forbi ledelsen og godkendes af ledelsen.
Først da kan ledelsen være sikre på, at en risiko med konsekvens 4 fra it-afdelingen er sammenlignelig med en risiko med konsekvens 4 fra økonomiafdelingen.
I dag er det alt for tit ikke tilfældet, og det sætter ledelsen i en umulig situation, hvor de, hvis de overhovedet modtager risikorapportering, skal forsøge at navigere i meget forskellige risici, og selv forøge at finde ud af, om de er enige i risikoens væsentlighed.
En uddannet ledelse
Hvordan får organisationerne så en ledelse, der forstår sit ansvar? Det gør man først og fremmest ved at få dem til at forstå værdien i den risikobaserede tilgang, men det er hverken nemt eller ligetil.
Især amerikansk litteratur er glad for at forklare, at det gør man ved at tale ledelsens sprog og forklare det i økonomiske termer, som for eksempel ”risikoen koster 500.000, den kan vi mitigere med disse tiltag, som kun koster 100.000, og derfor sparer vi 400.000”.
Min erfaring siger mig bare, at det ikke er nemt at kvantificere risici på den måde, og derfor ser jeg meget sjældent den metode brugt i Danmark.
Selv er jeg langt mere tilhænger af det, jeg kalder storyteller-metoden, hvor man reelt set ”bare” forsøger at forklare fordele og ulemper ved en ting.
For eksempel i forhold til GDPR: i stedet for at tale om bøder, fokuserer jeg på at finde fordele ved at følge reglerne, således at det bliver et positivt tiltag, frem for noget man gjorde for at undgå en negativ konsekvens.
Det er bare ikke nemt at finde den fortælling, som kan overbevise ledelsen.
Her er der faktisk hjælp at hente i NIS2 i form af et lovkrav.
Artikel 17 i direktivet stiller nemlig krav til ledelsen af de væsentlige og vigtige enheder (de organisationer, som er omfattet af direktivet). For det første stilles krav om at ”ledelsesorganet regelmæssigt følger specifikke kurser for at opnå tilstrækkelig viden og færdigheder til at forstå og vurdere cybersikkerhedsrisici og styringspraksisser samt deres indvirkning på enhedens drift”, hvilket nok skal åbne op for en masse usikkerhed om, hvem det i praksis omfatter, hvilke kurser, og hvad er tilstrækkelig, men det er et skridt i den rigtige retning.
Yderligere siger artikel 17 at ”ledelsesorganerne for væsentlige og vigtige enheder godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 18 (krav til sikkerhed), fører tilsyn med dens gennemførelse og er ansvarlige for enhedernes manglende overholdelse af forpligtelserne i henhold til denne artikel”.
Direktivet stiller altså både krav om, at ledelsen tilegner sig viden om risici og risikostyring, samt at det er ledelsen, som godkender sikkerhedsforanstaltningerne og er ansvarlige for, at der føres tilsyn med disse.
Det er i mine ører en rigtig god nyhed, fordi det giver sikkerheds- og compliancefolk i mange organisationer flere muligheder for at få ledelsen til at tage et ansvar og få forankret ansvaret for risikostyringen hos ledelsen.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.