Cybercom

Compliance
Management

Introduktion

globe(1).jpgIdag är GRC - "Governance, Risk, Compliance" - en fråga som ligger på ledningens bord i snart sagt alla större verksamheter. Med detta begrepp avses säkerhetsstyrning, kvalitetsstyrning, miljöstyrning och andra typer av områden där man vill genomdriva en kravbild genom hela den egna organisationen. Tyvärr stannar detta arbete ofta vid att man tar fram ett dokument som beskriver verksamhetens önskade läge. 

Dokumentet kan vara en säkerhetspolicy, en projekthandbok eller en uppsättning checklistor. Dessa dokument hamnar i filbibliotek, på intranätsidor, lokala hårddiskar. Men är detta verkligen fungerande metoder för en rationell verksamhetsstyrning?

Att varaktigt förändra en verksamhet kräver mycket mer än att formulera själva regelverket. Man behöver rationella metoder bestående av både processer och verktyg. När såg man senast en CFO som inte hade ett ekonomisystem till sitt förfogande? Det går inte att styra en verksamhet mot en komplex målbild - såsom ett säkerhetsregelverk - utan ett rapporteringssystem.  

Vilka ställer då dessa verksamhetskrav – och vilka är kraven? 
  • Lagstiftare – skapar regelverk som Sarbanes-Oxley Act, Basel2 samt finansinspektionens krav.
  • Branschorgan – betalkortsvarumärkena förvaltar regelverket PCI DSS.
  • Standardiseringskommissioner - formulerar standarder för styrning av informationssäkerhet, kvalitet och miljö.
  • Verksamheterna själva - formulerar standarder för styrning av såväl lagstiftade områden (såsom arbetarskydd) och frivilliga områden (projektuppföljning, effektivitet).

Gemensamt för alla dessa kravsamlingar är att det är lättare att tillgängliggöra dem än att implementera dem. Det är inga problem att beställa en säkerhetsstandard i ett tryckt exemplar till alla nätverkstekniker eller länka till dem från organisationens intranät. Man kan ta fram instruktioner och checklistor för den egna verksamheten. 

Men det är inte där utmaningen ligger. Om det hade varit så enkelt som att offentliggöra en säkerhetspolicy och ett säkerhetsramverk på företagets intranät hade vi inte haft några informationssäkerhetsproblem i några verksamheter idag. 

Problemet företag och myndigheter har idag är sällan att veta vilka krav man skall ställa. Man saknar regelmässigt rationella metoder för verksamhetens återkoppling av hur man uppfyller de krav man ställer. Kan man inte mäta kan man inte styra. 

Cybercoms metoder för arbete med GRC bygger på tre grundteser:

Grundtes 1: man får inte fastna i dokumentation

Styrning av informationssäkerhet är ett praktexempel. När en verksamhet skall implementera en verksamhetsgemensam styrning av informationssäkerhet drivs projekten ofta "top down", man skriver en policy och ett säkerhetsramverk och instruktioner och checklistor och rapporter. Man har möten och etablerar kommittéer.

Det finns alltför många exempel på verksamheter där säkerhetsarbetet urartat till att bli ren dokumentförvaltning. Men de praktiska insatsernas omfattning rimligtvis måste vara betydligt större än arbetet med dokumentationen.

Grundtes 2: ett decentraliserat angreppssätt är nödvändigt 

En teknisk säkerhetsexpert på Cybercom sade en gång att sannolikheten för att han skulle lyckas med ett penetrationstest berodde mer på nätverkschefens intresse för IT-säkerhet än om verksamheten har certiferat sin styrning av informationssäkerhet. Denna insikt pekar på att metoderna för säkerhetsstyrning måste utgå från mottagaren av säkerhetskraven - inte från avsändaren. Detta ställer helt andra metod- och formkrav - och en helt annan flexibilitet - än vad som uppnås genom traditionell säkerhetsstyrning där dokumentframställning på huvudkontoret sätts i fokus. 

Det går att skapa enkla processer som kan genomföras i ett stort antal i den egna organisationen. Projekt skall kunna arbeta självständigt med ett bra verktygsstöd, liksom chefer, projektledare och andra intressenter. Om processerna är tillräckligt enkla och har ett starkt IT-stöd kommer det att fungera. Detta innebär att säkerhetschefens roll transformeras till att bli en processledare som driver arbetet framåt och hjälper organisationens olika delar att ta sitt ansvar. Genom GRC-systemet  skapas ett stöd till mottagaren av kraven - och en fullständig bild över verksamhetens totala efterlevnad. 

Grundtes 3: man måste ha ett effektivt verktygsstöd 

Ekonomer har ekonomisystem. Logistiker har logistiksystem. Detta är lösningar som skapar insyn, spårbarhet och mätetal i hur den egna verksamheten mår. Inom miljöledning, kvalitetsuppföljning och informationssäkerhet är man regelmässigt mycket sämre utrustad.

De huvudsakliga verktygen idag är e-post och Office-paketet. Men detta skapar enorma problem om krav behöver tas bort, läggas till eller ändras.

Lösningen är att använda interaktiva onlinelösningar för säkerhetsstyrning. Om en systemförvaltare inte klarar ett specifikt krav kan denne markera det med ett enkelt musklick. Scorecards och tydliga rapporter genereras automatiskt över vilka som har problem att klara kraven, eller vilka krav som många har problem med att uppfylla. Men en onlinelösning kan man dessutom integrera ärendehantering och beslutsstödssystem för att skapa enhetliga riskanalyser - vilket gjorts i Cybercom Compliance Portal.