Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Sikkerhedsmodellen, ’De tre forsvarslinjer’, der identificerer, vurderer og styrer en virksomheds potentielle risici, har længe været anerkendt som risikostyringsstrategi og er fast inventar i mange finansielle virksomheder.
Kort sagt består modellen af tre niveauer – Risk Owners, Risk Advisors og Risk Assurance – der hver især fungerer som selvstændige sikkerhedsniveauer og tilsammen giver et helhedsoverblik over virksomhedens risikounivers.
I mit arbejde med cybersikkerhed, compliance og operationel modstandskraft i den nordiske banksektor har jeg dog set flere eksempler på, at Forsvarslinje-modellen i praksis har den svaghed, at den ofte er for ensidig og statisk i en så hastig digital transformation, som vi i dag ser i den finansielle sektor.
Derfor er der fare for, at de sikkerhedsmæssige beslutninger, der bliver taget på baggrund af modellen, er forældede, inden de rigtigt er blevet implementeret. En anden ulempe er, at modellen ofte skaber siloarbejde og udelukker vigtige aktører i beslutningsarbejdet.
DORA er et vigtigt initiativ
Ind fra sidelinjen kommer nu DORA (Digital Operational Resilience Act).
Det er Europa-Kommissionens modtræk til den stigende cyberkriminalitet, der skal skabe en bedre digital operationel modstandsdygtighed over for cyberangreb og styrke den finansielle servicesektor i EU.
DORA er uden tvivl et vigtigt initiativ i kampen mod stigende cyberangreb og et bevis på, at EU-kommissionen tager cybersikkerhed seriøst.
Her er ikke bare tale om endnu en forordning, der skal føjes til listen af compliancekrav, men om et konkret værktøj, der kan hjælpe de finansielle virksomheder med at stå stærkere.
Det er dog tvivlsomt, om DORA i sig selv er bred og smidig nok til at sikre alle sprækkerne i virksomhedens cyberbeskyttelse i en hurtig omskiftelig og digital verden uden, at det kræver en radikal omstrukturering for de finansielle institutioner.
Et drømmematch
Heldigvis er der noget, som tyder på, at de to løsninger tilsammen er et drømmematch. For med DORA er der kommet fokus på en ny central spiller:
IKT-virksomheder (informations- og kommunikationsteknologi) og deres rolle for den finansielle sektors risikounivers, hvilket er helt essentielt i en sikkerhedskontekst.
Samtidig kan den flerstrengede tilgang fra Forsvarslinje-modellen supplere og forbedre DORA-integrationen.
Men inden jeg for alvor opsætter et arrangeret sikkerhedsægteskab, mener jeg, at følgende kriterier skal være opfyldt, før der er tale om et decideret drømmematch.
- Dashboards til nøglemålinger, der løbende konsoliderer og analyserer datafeeds fx kapitalberegninger. Det giver ledelsen mulighed for at reagere hurtigt, når de skal træffe nye sikkerhedsbeslutninger ud fra Forsvarslinje-modellen.
- En DORA-kompatibel proces- og overholdelsesarkitektur, der løbende styrer revisionsfunktioner, omstrukturering, og at lovgivning samt anden regulering bliver overholdt.
- It-risikostyringsværktøj, der giver mulighed for en mere intelligent overvågning og kontraktstyring.
- En modstandsdygtig zero-trust organisation, der proaktivt og løbende iværksætter risikovurderinger og identificerer trusselsaktører.
- En integreret platform, der giver et overblik over virksomhedens governance, risk og compliance (GRC) og strømliner regler, certificeringer og standarder på tværs af hele organisationen.
Det vil kræve både tid, ressourcer og kompromisser for at lykkes i vores digitale tidsalder.
Én ting er dog sikkert: Hvis den finansielle sektor gør sit forarbejde og matcher de to løsninger, vil virksomhederne uden tvivl stå stærkere på sikkerhedsområdet.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.