Det er ikke bare en stor hjelp for ledelsen at risikovurderinger tar utgangspunkt i konkrete forretningsmål. Forretningsbaserte risikovurderinger hjelper også informasjonssikkerhetsansvarlige med å prioritere det som ofte er begrensede ressurser.
Når de som er ansvarlige for informasjonssikkerheten gjør risikovurderinger, er det noen som følger en fast prosedyre. De tar utgangspunkt i en rekke systemer og prosesser som en eller annen gang ble defineret som kritiske. De går gjennom trusselkatalogen, og hvis det er noen kjente sårbarheter på et system, dykker de ned i detaljene og gjør en konkret trusselvurdering på systemet – også selv om det kanskje ikke spiller en sentral rolle for virksomhetens drift.
«Langt på vei kan dette fungere fint. Det blir identifisert sårbarheter på denne måten, og det er jo ok. Men i stedet for å trusselvurdere alt, oppfordrer vi til at man kun gjør risikovurderinger som er i direkte relasjon til virksomhetens målsettinger», sier Jakob Holm Hansen, CEO hos os.
"I stedet for å trusselvurdere alt, oppfordrer vi til at man
kun gjør risikovurderinger som er i direkte relasjon til virksomhetens målsettinger "
Jakob Holm Hansen
Bryt opp i delmål
Uansett om man er en offentlig organisasjon som leverer tjenester til innbyggerne, eller man er en privat virksomhet som selger et produkt, så har ledelsen en definert strategi. Den består typisk av forretningsmål, definerte selskapsverdier eller lignende.
«Som ansvarlig for informasjonssikkerheten skal man dele den overordnede målsettingen opp i delmål og trusselvurdere på de systemene og prosessene som understøtter hvert delmål.
Hvis en virksomhet eksempelvis har en overordnet strategi om å levere Norges beste kundeservice, skal man som sikkerhetsansvarlig vurdere trusselsituasjonen mot de kommunikasjonskanaler som gjør at kundene alltid kan komme i kontakt med virksomheten.»
Adgang til ledelsen
Når sikkerhetsansvarlige risikovurderer på bakgrunn av forretningsmål, er det med på å styrke samarbeidet med ledelsen. Man kan ikke forvente at ledelsen skal kunne forstå en teknisk risikovurdering av hele systemlandskapet og infrastrukturen. Men de forstår en sikkerhetsvurdering som tar utgangspunkt i de målsettinger for virksomheten som de selv har vært med på å utforme.
«Det kan for eksempel være at virksomhetens vekst de neste to-tre kvartaler er bundet opp i lanseringen av et nytt produkt. Hvis man som sikkerhetsansvarlig tar utgangspunkt i denne produktlanseringen, kan man gi ledelsen en målrettet risikovurdering av det som opptar dem mest. De vet godt hva det betyr for virksomheten, dersom en produktlansering må utsettes på grunn av utfordringer med IT-sikkerheten.»
Bruk fornuft
Jakob Holm Hansen understreker at ansvarlige for informasjonssikkerheten ikke behøver å finne opp sine arbeidsmetoder på nytt for å trusselvurdere med utgangspunkt i forretningsmål. Det handler primært om å snu litt om på den tradisjonelle tilnærmingen.
«Man skal fremdeles ta stilling til trusler. Man skal bare gjøre det prioritert. På den måten er det en god porsjon fornuft i det hele. Det handler om å sette inn risikovurderinger der hvor virksomheten har mest igjen for det. Dermed sparer man også ressurser og effektiviserer sin egen arbeidsflyt.»
Et oppgjør med 'pleier å'
Risikovurderinger som er koblet opp mot forretningsmål kan bety et oppgjør med 'pleier å'-mentaliteten i en organisasjon.
«Det gjøres mange risikovurderinger etter den velkjente 'sånn pleier vi å gjøre det'. Det betyr egentlig bare at noen har vurdert at det er systemer og prosesser som en gang har vært kritiske for virksomheten. Men er de fremdeles det?», spør Jakob Holm Hansen, og avslutter:
«Når man gjør risikovurderinger på bakgrunn av forretningsmål, setter man seg automatisk i en bedre posisjon og viser forretningsforståelse. Det er en god måte å komme tettere på ledelsens beslutninger.»
Vår løsning hjelper deg med effektive risikovurderinger. Les mer her
Gratis veiledning til risikostyring
Hent vår veiledning og få oversikt over hvordan du baserer informasjonssikkerheten på den reelle risiko deres virksomhet er utsatt for – akkurat slik som ISO 27001 beskriver. Veiledningen er utarbeidet med utgangspunkt i standarden for Risk Management, ISO 27005. |