Cybercom

Compliance
Management

Exempel: Security Management

Ett exempel på verksamhetsstyrning som fungerar bättre som en verktygsstödd decentraliserad process är styrning av IT- och Informationssäkerhet.

Traditionell säkerhetsstyrning upplevs ofta som omfattande, centraliserat, kompromisslöst och svårarbetat. Ett modernt och decentraliserat angreppssätt innebär i stället en fokusering på det lokala praktiska säkerhetsarbetet och uppföljningen av detta.

bengt_sitter(1).jpgSäkerhetsarbetet har aldrig varit så svårt som det är idag. Teknikutvecklingen fortsätter accelerera och lämnar checklistor och säkerhetspolicies långt bakom sig. I dagens hårdbantade organisationer hittar man ofta ansvaret för kvartalsresultat och för långsiktig riskhantering hos en och samma person!
Cybercom har utvecklat verktyg och metoder som fungerar i dessa moderna miljöer. Fokus ligger på decentraliserad styrning av säkerhet och rationella onlinelösningar för kravhantering. Dessa verktyg stöttar inte bara säkerhetschefen utan också alla de som har i uppgift att driva säkerhetskraven i de verksamhetsdelar de ansvarar för. Därför har vi utvecklat Cybercom Compliance Portal, säger Bengt Berg.

Effektiv informations- och IT-säkerhetsstyrning

Det är inte helt ovanligt - i traditionell säkerhetsstyrning - med "hyllvärmare", säkerhetsdokument som varken läses eller efterföljs. Kraven är ofta mycket strikta och verksamheten ges för lite stöd att klara av dem - och framför allt inga rationella metoder för att återkoppla sin aktuella säkerhetsstatus - krav för krav. Detta angreppssätt innebär att man inte enkelt kan se vilka säkerhetskrav verksamheten inte klarar av att implementera. Detta är mer problematiskt än det först kan låta efterom krav som få - eller inga - kan klara skapar en uppfattning i organisationen om att regelverket egentligen inte gäller.

Informations- och IT-säkerhet handlar inte om pappersarbete. Visst behövs vissa dokument, men ett modernt och decentraliserat angreppssätt innebär en fokusering på det lokala praktiska säkerhetsarbetet, där säkerhetsansvart följer verksamhetsansvaret. Säkerhetschefens roll förändras från ordningsman till processcoach. Organisationen får verktyg och stöd så att de klarar sin uppgift. Då går det helt plötsligt att arbeta praktiskt med säkerheten i en hel organisation - och säkerhetschefen lär märka att den webbansvarige investerar mer i webbsäkerhet om ansvaret för säkerhet inte ligger hos "någon annan".

Dagens komplexa verksamheter kräver rationella metoder. Därför kompletteras Cybercoms leverans av en webbtjänst - Cybercom Compliance Portal. Den kan finnas på Internet, eller driftsättas i dina egna interna nätverk. Denna portal utgör verksamhetens rapporteringsverktyg för krav, risker och säkerhetsåtgärder. Du får ständigt aktuell information. Vilka hamnar efter i sitt säkerhetsarbete? Vilka problem är gemensamma? Vad har dina samarbetspartners för säkerhetsstatus?
 

En decentraliserad säkerhetsprocess

En decentraliserad säkerhetsprocess måste vara enkel att följa och den måste leda en systemförvaltare, en chef eller en tekniker till det självklara resultatet: svaret på frågan om vilka åtgärder som bäst höjer säkerheten.

För en systemförvaltare innebär detta att följande steg genomförs:
  1. Klassificering av förvaltningsobjektet
    Systemförvaltaren klassificerar sitt förvaltningsobjekts information enligt organisationens modell för detta, exempelvis konfidentialitet/riktighet/tillgänglighet.
  2. Gap-analys
    Systemförvaltaren går igenom kraven som ställs i organisationens säkerhetsramverk och där man inte uppfyller kraven registreras detta.
  3. Riskanalys
    De krav man inte uppfyller går vidare till en riskanalys - helt enkelt för att avgöra om det är något reellt problem att man inte uppfyller dem.
  4. Åtgärdsanalys
    Åtgärder man indentifierat som intressanta för att hantera de i tidigare steg oacceptabla riskerna värderas, för att identifiera vilka åtgärder som ger mest verksamhetsnytta för given investering!
  5. Valda åtgärder genomförs
     Åtgärder som väljs för genomförande genomförs och processen är avslutad. Den tas upp igen nästa kvartal, nästa år, eller när lämplig tid har förflutit.

Resultat

Decentralisering och delaktighet ger en ökad acceptans för säkerhetsarbetet.
  • Från att ha varit mottagare av krav "från ovan" ger man verksamheten ökat ansvar att själva arbeta med säkerhetsfrågor. Stöd erbjuds där det behövs för att säkerställa att verksamheten klarar detta. 
  • Genom att verksamheten ges en högre grad inflytande får man en starkare acceptans för de säkerhetsåtgärder som genomförs. Ett engagemang isäkerhetsfrågor uppstår.
  • Säkerhetschefens roll förändras – från att vara den som "ansvarar för säkerheten" till att bli den som ansvarar för att säkerhetsprocesserna fungerar. 
  • Genom användningen av Cybercom Compliance Portal ges en ständig temperaturmätare på verksamhetens säkerhetsarbete – och på säkerhetsramverkets kvalitet.
Ett decentraliserat angreppssätt kan vara grunden för ett "nytag" av ett säkerhetsarbete som gått i stå. Låt Cybercom hjälpa din verksamhet till en effektiv säkerhetsstyrning!