Risikovurderinger skal flugte med forretningsmålene

Det er ikke bare en stor hjælp til ledelsen, når risikovurderingerne tager udgangspunkt i konkrete forretningsmål. Forretningsbaserede risikovurderinger hjælper også ansvarlige for informationssikkerhed med at prioritere de sparsomme ressourcer.

Når ansvarlige for informationssikkerhed foretager risikovurderinger, er der nogle, der følger en fast procedure. De tager udgangspunkt i en række systemer og processer, der engang er blevet defineret som kritiske. De gennemgår trusselskataloget. Er der kendte sårbarheder på et system, dykker de ned i detaljen og foretager en konkret trusselsvurdering på systemet – også selvom det ikke spiller en central rolle for driften af virksomheden.

“Langt hen ad vejen fungerer tilgangen fint. Der bliver identificeret sårbarheder på den måde. Men i stedet for at trusselvurdere på alt opfordrer vi til, at man kun foretager risikovurderinger, der kobler sig direkte til forretningens målsætninger,” siger Jakob Holm Hansen.

"I stedet for at trusselvurdere på alt opfordrer vi til, at man
kun foretager risikovurderinger, der kobler sig direkte til
forretningens målsætninger"

Bryd ned i delmålsætninger

Uanset om man er en offentlig organisation, der leverer borgerservices, eller om man er en privat virksomhed, der sælger et produkt, har ledelsen defineret en strategi. Strategien består typisk af forretningsmål, nedfældede værdier eller noget lignende.

“Som ansvarlig for informationssikkerhed skal man bryde den overordnede målsætning ned i delmålsætninger og trusselvurdere på de systemer og processer, der understøtter hver delmålsætning.

“Hvis en virksomhed eksempelvis har en overordnet strategi om at levere Danmarks bedste kundeservice, skal man som sikkerhedsansvarlig vurdere trusselsituationen mod de kommunikationskanaler, der gør, at kunderne altid kan komme i kontakt med virksomheden.”

Adgang til ledelsen

Når sikkerhedsansvarlige risikovurderer på baggrund af forretningsmål, er det med til at styrke samarbejdet med ledelsen. Man kan ikke forvente, at ledelsen skal kunne forstå en teknisk risikovurdering af hele systemlandskabet og infrastrukturen. Men de kan godt forstå en sikkerhedsvurdering, der tager udgangspunkt i de målsætninger for virksomheden, de selv har været med til at udforme.

“Det kan eksempelvis være, at virksomhedens vækst i de næste to-tre kvartaler er bundet op på lanceringen af et nyt produkt. Hvis man som sikkerhedsansvarlig tager udgangspunkt i den produktlancering, kan man give ledelsen en målrettet risikovurdering af det, der interesserer dem mest. De ved godt, hvad det betyder for forretningen, hvis en produktlancering eksempelvis må udsættes på grund af it-sikkerhedsudfordringer.”

Brug snusfornuften

Jakob Holm Hansen understreger, at ansvarlige for informationssikkerhed ikke behøver at genopfinde sine arbejdsmetoder for at trusselsvurdere på baggrund af forretningsmål. Det handler primært om at vende den traditionelle tilgang på hovedet.

“Man skal stadig tage stilling til trusler. Man skal bare gøre det prioriteret. På den måde er der en god portion snusfornuft i det. Det handler om at sætte ind med risikovurderinger, der hvor virksomheden har mest gavn af dem. Dermed sparer man også ressourcer og effektiviserer sine egne arbejdsgange.”

Opgør med ‘plejer’

Risikovurderinger koblet op på forretningsmål kan godt betyde et opgør med ‘plejer-mentaliteten’ i en organisation.

“Der bliver foretaget mange risikovurderinger efter devisen, at sådan plejer vi at gøre. Det betyder egentlig bare, at nogen har vurderet, at der er systemer og processer, der engang har været kritiske for forretningen. Men er de stadig det?,” spørger Jakob Holm Hansen og slutter:

“Når man foretager risikovurderinger på baggrund af forretningsmål, spiller man automatisk sig selv mere på banen og viser forretningsforståelse. Det er en god måde at komme tættere på ledelsesbeslutningerne.”

Vores compliance værktøj hjælper dig med at udføre effektive risikovurderinger. Læs mere her 

Gratis vejledning til risikostyring