Sikkert nok? Blogg om informasjonssikkerhet

ISMS: ”Den verdien du kan måle, er den verdien du leverer”

[fa icon="calendar"] 22. november 2018 / av Jakob Holm Hansen

Med ISMS performance-målinger kan sikkerhetsansvarlige dokumentere konkret forretningsverdi og samtidig heve sikkerhetsnivået i organisasjonen. Et whitepaper kommer med inspirasjon til hvordan man velger ut, definerer og foretar effektmålinger i en ISMS-løsning.

Det er spesielt to tendenser som preger utviklingen innenfor IT-sikkerhet, governance og compliance.

For det første har kompleksiteten i all virksomhetsdrift økt markant de siste årene. Digitaliseringen og de norske og internasjonale regelsettene som skal regulere digitaliseringen, har økt det administrative presset på private og offentlige virksomheter.

For det andre betyr digitaliseringen at budsjettene til virksomheters IT-sikkerhet har økt. Det er i dag en absolutt topprioritet for alle virksomheter å sikre infrastruktur og løsninger som gjør det mulig å jakte på de ønskede effektiviserings- og produktivitetsgevinstene.

ISMS synliggjør forretningsverdi

Med en ISMS-løsning sentraliseres og automatiseres ikke bare håndteringen av en virksomhets sikkerhetsoppgaver, man får også et redskap som kan måle verdien av sikkerhetstiltakene virksomheten foretar for å leve opp til interne og eksterne krav.

«Som for andre deler av forretningen, gjelder også for de sikkerhetsansvarlige at den verdien man kan måle, er den verdien de leverer. En ISMS-løsning skal gi ledelsen et overblikk over hvor effektive virksomhetens egne sikkerhetsprosesser er. Ellers er det vanskelig å rettferdiggjøre stigende sikkerhetsomkostninger, og man kan heller ikke sette inn målrettede tiltak for å heve sikkerhetsnivået,» sier Jakob Holm Hansen, administrerende direktør hos os.

Sikkerhet og forretningsmål i tråd med hverandre

Han anbefaler at man identifiserer og setter opp KPI’er i sin ISMS-løsning, og at disse KPI’ene er i tråd med virksomhetens forretningsmål.

«Det finnes eksempler på virksomheter som foretar performance-målinger på sikkerhetsparametre som er irrelevante for forretningen. Det som gir ledelsen verdi er performance-målinger av den IT-sikkerheten som er tett knyttet til driften av forretningens kjernevirksomhet. Sikkerhet er ikke en prosess koblet fra resten av forretningen. Sikkerhet er forutsetningen for overhodet å drive forretning,» sier Jakob Holm Hansen.

Standardisert metode

Det finnes en standardisert metode for hvordan man i sin ISMS-løsning velger ut, definerer og måler KPI’ene som skal danne beslutningsstøtte for ledelsen. Og det finnes en standardisert metode for hvordan man operasjonaliserer disse målingene, så de blir presentert på en oversiktlig måte for ledelsen.

«Den smarteste og enkleste måten å operasjonalisere effektmålingene er ved å automatisere en prosess som henter inn data og selv danner en rapport som blir sendt ut til ledelsen. Dersom man benytter et årshjul til å organisere sikkerhetsarbeidet og compliance-programmet kan man med fordel innarbeide ledelsesrapporteringen i strukturen fra årshjulet, da man dermed får mulighet til å tilpasse sikkerheten kontinuerlig,» avslutter Jakob Holm Hansen. 

Last ned guide om ISMS KPI'er

Hent vår whitepaper om ISMS performance-måling og få veiledning i å sette opp metrikker og prosesser. Guiden inneholder en liste med utvalgte KPI'er til inspirasjon.

Hent veiledningen

 

ISMS performance-måling med KPI'er

 

 

Sikkert nok?

NorthGRC blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg