Sikker nok? Blog om informationssikkerhed

ISMS: ”Den værdi, du kan måle, er den værdi, du leverer”

[fa icon="calendar"] 25. oktober 2018 / af Jakob Holm Hansen

Med ISMS performance-målinger kan sikkerhedsansvarlige dokumentere konkret forretningsværdi og samtidig hæve sikkerhedsniveauet i organisationen. Et Neupart-white paper kommer med inspiration til, hvordan man udvælger, definerer og foretager effektmålinger i en ISMS-løsning.

Der er navnlig to tendenser, der præger udviklingen indenfor it-sikkerhed, governance og compliance.

For det første er kompleksiteten i al virksomhedsdrift steget markant gennem de seneste år. Digitaliseringen og de danske og internationale regelsæt, der skal regulere digitaliseringen, har øget det administrative pres på private og offentlige virksomheder.

For det andet har digitaliseringen betydet, at budgetterne til virksomheders it-sikkerhed er steget. Det er i dag en absolut topprioritet for alle virksomheder at sikre den infrastruktur og de løsninger, der gør det muligt at jagte de ønskede effektiviserings- og produktivitetsgevinster.

ISMS synliggør forretningsværdi

Med en ISMS-løsning centraliserer og automatiserer man ikke alene håndteringen af en virksomheds sikkerhedsopgaver. Man får også et redskab, der kan effektmåle værdien af de sikkerhedstiltag, virksomheden foretager for at leve op til interne og eksterne krav.

“Ligesom det gælder for andre dele af forretningen, gælder det også for de sikkerhedsansvarlige, at den værdi, man kan måle, er den værdi, de leverer. En ISMS-løsning skal kunne give ledelsen et overblik over, hvor effektivt virksomheden understøtter sine egne sikkerhedsprocesser. Ellers har man svært ved at retfærdiggøre de stigende sikkerhedsomkostninger, ligesom man heller ikke kan sætte ind med målrettede tiltag, der hæver sikkerhedsniveauet,” siger Jakob Holm Hansen, administrerende direktør i Neupart.

Sikkerhed og forretningsmål skal flugte

Han anbefaler, at man identificerer og opstiller KPI’er i sin ISMS-løsning, og at disse KPI’er flugter med virksomhedens forretningsmål.

“Der findes eksempler på virksomheder, som foretager performance-målinger på it-sikkerhedsparametre, der er irrelevante for forretningen. Det, der giver ledelsen værdi, er performance-målinger af den it-sikkerhed, der er tæt knyttet til driften af forretningens kernevirksomhed. Sikkerhed er ikke en proces afkoblet fra resten af forretningen. Sikkerhed er forudsætningen for overhovedet at drive forretning,” siger Jakob Holm Hansen.

Standardiseret metode

Der findes en standardiseret metode for, hvordan man i sin ISMS-løsning udvælger, definerer og effektmåler på de KPI’er, der skal danne beslutningsstøtte for ledelsen. Og der findes en standardiseret metode for, hvordan man operationaliserer effektmålingerne, så de bliver præsenteret på en overskuelig måde for ledelsen.

“Den smarteste og mest enkle måde at operationalisere effektmålingerne på er ved at automatisere en proces, der indhenter data og selv skaber en rapport, som bliver skubbet ud til ledelsen. Hvis man benytter et årshjul til at organisere sit sikkerhedsarbejde og compliance-program, kan man med fordel indarbejde ledelsesrapporteringen i strukturen fra årshjulet, da man dermed får mulighed for at tilpasse sin sikkerhed kontinuerligt,” slutter Jakob Holm Hansen. 

Download guide om ISMS KPI'er

Hent Neuparts white paper om ISMS performance-måling og bliv klædt på til at opsætte metrikker og processer. Guiden indeholder en liste med udvalgte KPI'er til inspiration.

Hent guiden her

kpi_da  

 

Mere om årshjulet:

Webinar: Brug årshjulet til at efterleve krav til din informationssikkerhed

Emner: årshjul, ISMS, ISO 27001

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg