Cybercom

Compliance
Management

Introduktion

globe(1).jpgIdag är externa krav – krav som ställts av någon annan än den egna organisationen – den i särklass största drivkraften för vad man ofta kallar "compliance management". Med detta begrepp avses säkerhetsstyrning, kvalitetsstyrning, miljöstyrning och andra typer av områden där man vill genomdriva en gemensam kravbild genom hela den egna organisationen. Att varaktigt förändra en verksamhet kräver dock mycket mer än att formulera själva regelverket – det kräver rationella metoder bestående av både processer och verktyg. 

Vilka ställer dessa externa krav – och vilka är kraven? 
  • Lagstiftare – skapar regelverk som Sarbanes-Oxley Act, Basel2, samt skatteverkets krav på kvittoskrivare. 
  • Branschorgan – som när betalkortsvarumärkena förvaltar regelverket PCI DSS.
  • Standardiseringskommissioner - formulerar standarder för styrning av informationssäkerhet, kvalitet och miljö.
Gemensamt för alla dessa kravsamlingar är att det är lättare att tillgängliggöra dem än att implementera dem. Det är inga problem att beställa en säkerhetsstandard i ett tryckt exemplar till alla nätverkstekniker eller länka till dem från organisationens intranät. Man kan ta fram instruktioner och checklistor för den egna verksamheten. 

Men det är inte där utmaningen ligger. Om det hade varit så enkelt som att offentliggöra en säkerhetspolicy och ett säkerhetsramverk på företagets intranät hade vi inte haft några informationssäkerhetsproblem i några verksamheter idag. 

Problemet företag och myndigheter har idag är sällan att veta vilka krav man skall ställa. Man saknar regelmässigt rationella metoder för verksamhetens återkoppling av hur man uppfyller de krav man ställer. Kan man inte mäta kan man inte styra. 

Cybercoms metoder för arbete med compliance management bygger på tre strategier:

Man får inte fastna i dokumentation

Styrning av informationssäkerhet är ett praktexempel. När en verksamhet skall implementera en verksamhetsgemensam styrning av informationssäkerhet drivs projekten ofta "top down", man skriver en policy och ett säkerhetsramverk och instruktioner och checklistor och rapporter. Man har möten och etablerar kommittéer.

Det finns alltför många exempel på verksamheter där säkerhetsarbetet urartat till att bli ren dokumentförvaltning. Men de praktiska insatsernas omfattning rimligtvis måste vara betydligt större än arbetet med dokumentationen.

Ett decentraliserat angreppssätt är nödvändigt 

En teknisk säkerhetsexpert på Cybercom sade en gång att sannolikheten för att han skulle lyckas med ett penetrationstest berodde mer på nätverkschefens intresse för IT-säkerhet än om verksamheten har certiferat sin styrning av informationssäkerhet. Detta innebär att metoderna för säkerhetsstyrning måste utgå från mottagaren av säkerhetskraven - inte från avsändaren. Detta ställer helt andra metod- och formkrav - och en helt annan flexibilitet - än vad som uppnås genom traditionell säkerhetsstyrning.

Cybercom har byggt sina metoder med ett decentraliserat angreppssätt för att hantera denna realitet. Man har i ett stort antal uppdrag visat att ett decentraliserat angreppssätt är möjligt och att det förbättrar både resultatet och av effektiviteten i säkerhetsarbetet.

Det går alltså att skapa enkla säkerhetsprocesser som kan genomföras i ett stort antal i den egna organisationen. Projekt skall kunna driva egna säkerhetsprocesser, systemförvaltare skall kunna driva egna säkerhetsprocesser, och så vidare. Om processerna är tillräckligt enkla och har ett starkt IT-stöd kommer det att fungera. Detta innebär att säkerhetschefens roll transformeras till att bli en processledare som driver arbetet framåt och hjälper organisationens olika delar att ta sitt ansvar. 

Man måste ha ett effektivt verktygsstöd 

Ekonomer har ekonomisystem. Logistiker har logistiksystem. Detta är lösningar som skapar insyn, spårbarhet och mätetal i hur den egna verksamheten mår. Inom miljöledning och informationssäkerhet är man regelmässigt mycket sämre utrustad.

De huvudsakliga verktygen är e-post och Office-paketet. Men om man exempelvis använder Excel-dokument för återrapportering av kravuppfyllnad får man enorma problem om krav behöver tas bort, läggas till eller ändras.

Lösningen är att använda interaktiva onlinelösningar för säkerhetsstyrning. Om en systemförvaltare inte klarar ett specifikt krav kan denne markera det med ett enkelt musklick. Scorecards och tydliga rapporter genereras automatiskt över vilka som har problem att klara kraven, eller vilka krav som många har problem med att uppfylla. Men en onlinelösning kan man dessutom integrera ärendehantering och beslutsstödssystem för att skapa enhetliga riskanalyser - vilket gjorts i Cybercom Compliance Portal.