Sikkert nok? Blogg om informasjonssikkerhet

5 gode råd til eneansvarlige for informasjonssikkerhet

[fa icon="calendar"] 6. mars 2019 / av Jakob Holm Hansen

Hjemme alene. Denne følelsen kan eneansvarlige for informasjonssikkerhet gjerne få når de blir møtt med økende krav til compliance-programmet, uten at de får tildelt ekstra ressurser til å utføre oppgavene. Her er 5 gode råd som øker effektiviteten og fremmer ledelsens forståelse for informasjonssikkerheten.

Flere krav til informasjonssikkerhet. Færre hender til å løse oppgavene. Slik ser virkeligheten ut i mange virksomheter. Uten å forholde seg til detaljer eller omfanget av oppgaven, forventer interne og eksterne interessenter at compliance-programmet alltid er under full kontroll. Men forventningene – og den stadig stigende arbeidsbyrden – fører sjelden til ansettelse av flere ressurser.

Man er fristet til å kalle tendensen for “Hjemme alene-syndromet”. Den ansvarlige for informasjonssikkerheten forteller om følelsen av å gape over flere oppgaver enn de har tid til å løse. Det er ikke bare utilfredsstillende; det eksponerer også virksomheten for en økt risiko når den ansvarlige ikke har fullstendig overblikk.

Stopp den onde sirkelen

Jakob Holm Hansen er CEO hos os. Han forklarer at de eneansvarlige for informasjonssikkerhet arbeider hardt med virksomhetens compliance-program. Men arbeidsinnsatsen blir sjelden anerkjent fordi det er vanskelig å synliggjøre resultatene.

 «Når den sikkerhetsansvarlige ikke har oversikt over compliance-programmet, kan man ikke vise overfor ledelsen hvor det er bruk for å sette inn ekstra tiltak. Omvendt er det problematisk for ledelsen å tildele flere ressurser til compliance-programmet, hvis de ikke har innsikt i hva de konkret bevilger mer penger til. Det blir fort en ond sirkel», sier Jakob Holm Hansen.

Han kommer her med 5 gode råd som både kan hjelpe den eneansvarlige til bedre arbeidsvilkår og styrke virksomhetens informasjonssikkerhet. 

  1. Skap struktur
    Struktur avler effektivitet. Det gjelder i arbeidslivet generelt og spesielt innen informasjonssikkerhet. Eneansvarlige for informasjonssikkerhet kan løfte effektiviteten betraktelig ved å følge et compliance-program og utføre oppgavene i en prioritert rekkefølge.

  2. Deleger flere oppgaver
    Det kan godt hende at det kun er én ansvarlig for informasjonssikkerhet i en virksomhet. Men det betyr ikke at den sikkerhetsansvarlige skal utføre alle oppgavene selv. Fordelene ved å delegere oppgaver til kollegaene er at den sikkerhetsansvarlige kan bevare overblikket, og at informasjonssikkerheten blir bredere forankret, når flere deler av virksomheten er direkte involvert i compliance-programmet.

  3. Automatiser arbeidsprosessene
    Informasjonssikkerhet er et område med mange gjentagende oppgaver som skal utføres med en fast frekvens, fordelt ut over årets 12 måneder. Man kan med fordel ha systemstøtte og automatisere mange av arbeidsprosessene, så man ikke glemmer viktige oppgaver, ikke bruker mental energi på å bygge opp manuelle huskerutiner, slik at man bedre kan dokumentere utførelsen av oppgavene. 

  4. Visualiser behov og fremdrift
    Det skjer noe med vår forståelse når vi kan visualisere kompleksiteten, i stedet for å kun bruke ord eller rådata til å forklare komplekse sammenhenger. Det kan fremme forståelsen og gjøre det enklere å skaffe flere ressurser til compliance-programmet, hvis man kan synliggjøre fremdriften i form av grafer eller diagrammer, og slik se forventet ressursforbruk og tidsplan.

  5. Engasjer ledelsen
    Det kan oppstå en 'kløft' når sikkerhetsansvarlige snakker med ledelsen om virksomhetens informasjonssikkerhet. Sikkerhetsansvarlige snakker ofte i tekniske termer, mens ledelsen ofte snakker forretningsspråk. Med rett rapporteringsverktøy kan eneansvarlige for informasjonssikkerheten bygge bro til ledelsen og dermed skaffe seg selv bedre forutsetninger for å få den nødvendige støtten til compliance-programmet.

 

Bevar oversikten med et årshjul for informasjonssikkerhet

Vi anbefaler at man legger compliance-oppgavene inn i et årshjul. Årshjulet gir deg full oversikt over oppgavene og gjør det enklere å dokumentere ressursbehovet.

I vår seneste guide beskriver vi hvordan du bygger opp et årshjul til compliance-programmet.

Hent guiden og få oppskriften her

  Bygg et årshjul for informatsjonssikkerhed 

 

 

Emner: årshjul, compliance-program, informasjonssikkerhet

Sikkert nok?

NorthGRC blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg