Sikker nok? Blog om informationssikkerhed

Informationssikkerhed: Sådan får du mest muligt ud af mindst muligt

[fa icon="calendar"] 17. september 2018 / af Jakob Holm Hansen

Med et årshjul for informationssikkerhed kan du sikre, at de rette sikkerhedsprocesser er på plads, og at virksomhedens interne ressourcer har tid til at løse de mange andre opgaver, der trænger sig på.

Virkeligheden i mange virksomheder er, at der er få ressourcer til at håndtere informations-sikkerheden. Virkeligheden er også, at der formentlig ikke allokeres flere ressourcer i fremtiden. Så den sikkerhedsansvarlige er nødt til at få den sparsomme tid og de sparsomme penge til at række.

Den gode nyhed er, at det faktisk ikke er en uoverkommelig opgave. Og den rigtigt gode nyhed er, at man sammenlignet med tidligere praksis endda kan højne informationssikkerheden ved at gribe arbejdsopgaverne anderledes an.

Informationssikkerhed skal ikke være et maratonløb

Hvis man skulle komme med en analogi til arbejdet med informationssikkerhed, kan man sige, at der i nogle virksomheder har været en tendens til at udføre de nødvendige sikkerhedsopgaver som momentvise maratonløb.

Udarbejdelse af sikkerhedspolitikker, regelsæt, risikovurderinger, beredskabsplaner og så videre er blevet planlagt og afviklet i omfattende forløb, som har taget lang tid og måske endda kostet mange penge, hvis man har inddraget eksterne konsulenter. Kendetegnende for disse forløb har ofte været, at udbyttet ikke har stået mål med indsatsen. På trods af de gode intentioner er mange planer strandet i bunden af en skuffe, når der er sat flueben ud for udførelsen af en sikkerhedsopgave.

Alle kan løbe 5 kilometer

Jakob Joensen er konsulentchef i Neupart. Han anbefaler, at man i stedet for udmarvende maratondistancer tilrettelægger sikkerhedsarbejdet som ugentlige og mere overkommelige 5- kilometersløb.

“I stedet for at den sikkerhedsansvarlige bliver fuldstændig lagt ned to eller tre gange om året, giver det bedre mening, at virksomheden bryder opgaverne op i en række delprocesser, som løbende afvikles over 12 måneder. Det indebærer også, at det ikke er den sikkerhedsansvarlige, der skal udføre alle opgaver selv, men at ansvaret bliver fordelt ud på forskellige medarbejdere i organisationen,” siger Jakob Joensen.

Årshjulet forankrer sikkerhedsopgaverne

Den tilgang bliver understøttet af årshjulstankegangen, hvor alle årets sikkerhedsopgaver bliver lagt ind i et system. Når det er tid til at udføre en opgave, får den ansvarlige for en delproces eksempelvis en mail med en notits om, at det nu igen er tid til at udføre en opgave. Derefter kan de be- eller afkræfte ændringer på området og afslutningsvis dokumentere opgavens udførelse. 

“Hele ideen er, at det er nemmere og billigere at holde et årshjul langsomt kørende, end det er hele tiden at skubbe hjulet op i omdrejninger efter en periode med en lang pause,” siger Jakob Joensen.

Ud af kontoret og spørg medarbejderne

Han anbefaler, at den ansvarlige for en virksomheds informationssikkerhed som det første begynder at snakke med de mennesker, som har indsigt i virksomhedens delprocesser.

“Den sikkerhedsansvarlige skal spørge it-udvikleren, it-supporteren, it-driftsmedarbejderen, den netværksansvarlige og så videre, hvad de egentlig laver – ligesom de skal spørge medarbejderne i kundeservice, marketing, salg, produktion og HR om det samme. Når de er færdige med at spørge, har de et overblik over forretningens kerneopgave, hvilke systemer der understøtter udførelsen af den kerneopgave, og hvordan man passer på data.”

“Hvis man lykkes med at lægge de enkelte opgaver, og hvem der skal udføre dem, ind i et årshjul, er det min påstand, at opgaverne bliver meget bedre forankret på tværs af organisation, og at det højner kvaliteten af informationssikkerheden i virksomheden,” slutter Jakob Joensen.

Mere om årshjulet:

Webinar: Brug årshjulet til at efterleve krav til din informationssikkerhed  

Emner: årshjul, compliance, kontinuerlig efterlevelse af GDPR, GDPR

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg