BUSINESS BYTES

Hvordan kan CIO’en opnå den rette balance mellem mindre sikkerhed og accept af risiko?

  • Slået op for 1 år siden
  • 3 min. læsning

Ifølge den seneste Gartner CIO Agenda Report ændrer investeringsprioriteterne sig for CIO’en. På det seneste er sikkerhed røget længere ned på listen over prioriteter til fordel for analyse, business intelligence, infrastruktur, cloud og mobile enheder. Ved første øjekast er dette forståeligt: Det er langt mere logisk for virksomheder at foretage investeringer inden for områder, som vil give dem et højt eller øjeblikkeligt afkast. Informationssikkerhed har aldrig været et af disse områder. Når der bruges flere penge på traditionelle beskyttelsesteknikker såsom firewalls, e-mailsikkerhedsværktøjer og webfiltreringsprogrammer, er det alt for let at opfatte sikkerhed som en præventiv investering frem for en håndgribelig fordel. 

Dette er dog ikke nødvendigvis en dårlig tilgang til cybertrusler. Som Gartners tal viser, anerkender mange CIO’er allerede, at en mere nuanceret tilgang til sikkerhed kan være en mere effektiv måde at håndtere risiko på på lang sigt. I praksis begynder denne fremgangsmåde med en klarere forståelse af cybersikkerhedsrisici, og hvad de virkelig kan betyde for en virksomhed. 

Sikkerhedseksperter bør se sig selv som virksomhedens katalysatorer, være til stede fra begyndelsen og søge at beskytte de vigtigste aktiver før og efter brud. Men informationssikkerhedsrisici bør betragtes som håndterbare og ikke et større problem end andre former for forretningsrisici. Med andre ord kræver styring af sikkerhedsrisici en accept af, at visse risici altid vil være til stede, og visse brud vil altid forekomme, så virksomhederne bør have en strategi for at håndtere dem, når de opstår. Mange CIO’er fokuserer i dag på at oplyse om disse trusler, frem for at fokusere på at reducere truslerne. 

Det første skridt mod risikostyring er at forstå det. Derfor er det første skridt mod en effektiv risikostyring at identificere umiddelbare risici for din virksomhed og uddanne bestyrelsen og dine ledere om, hvad det er, og hvad de kan betyde. Effektiv risikostyring er alles ansvar. Et databrud kan forårsage enorme økonomiske skader og skade på virksomhedens omdømme, og andre ledere og de enkelte medarbejdere skal forstå de potentielle omkostninger og sandsynlige foranstaltninger i tilfælde af en lækage. 

Nogle virksomheder bruger hændelses- eller krisesimulering for at hjælpe med dette. Dette afslører ikke blot eventuelle blinde vinkler, det kan også medføre, at de forskellige teams føler sig mere selvsikre og bedre forberedte på brud, hvis de opstår. 

Det andet skridt er at forstå, at risikostyringen ikke stopper, blot fordi I har en aftalt en kriseproces. På samme måde som cybertruslen udvikler sig, skal den tilknyttede styring og politikker også. Mens en ledende medarbejder bør forsøge at ændre strategien for risikostyring, bør alle på tværs af organisationen kunne bidrage med forslag og hjælpe virksomheden med at skabe de bedst mulige håndteringsstrategier. Husk, at den bredere forretningsstrategi hurtigt kan ændre sig. Vækst på nye markeder kan føre til nye økonomiske og informationsmæssige risici. Brugen af digital teknologi såsom sociale medier og cloud-teknologi kan også have en indvirkning. Din risikostyringsstrategi skal skaleres i takt med din virksomheds appetit på vækst. 

Endelig skal du overveje det faktum, at risikoappetitten mellem de forskellige virksomhedsenheder kan variere meget. Derfor skal sikkerhedspolitikker give mulighed for accept af en vis mængde risici for at kunne opretholde en sammenhæng inden for virksomheden. Sikkerhedsbrud kan og vil ske, og lige så vigtigt som at forebygge det er det at have en aftalt proces på plads for at håndtere det, når det sker, baseret på en forståelse for, hvad det indebærer. Risikostyring skal være en del af et holistisk program til at vurdere risikoappetit, anvende risikostyringsprincipper og endelig uddanne virksomheden i, at en realisering af en risiko ikke er en fiasko, men en validering af en aftalt proces.

Læs mere om hvordan du kan transformere din forretning gennem digitalisering.