Gorm Grosen Christiansen er leder af Globeteams forretningsenhed for cyber- og informationssikkerhed.
Verden vendt på hovedet i forhold til tidligere, når det gælder indførelse af ny it i virksomhederne. Mens det i årevis var it-afdelingen, der nærmest var nødt til at overtale forretningen til at bruge ny teknologi for at øge innovationskraften, styrke samarbejdet, skabe mere effektive arbejdsgange osv., så er det i dag er det i høj grad forretningen selv, der decentralt efterspørger it og teknologi i jagten på konkurrencefordele.
Digitaliseringen bliver således i dag ikke kun drevet frem af centrale forretningsbeslutninger. De decentrale forretningsenheder indkøber i stigende grad selv den it, de har brug for. Det kan skabe flere sikkerhedsmæssige risici, som it-afdelingen skal overvåge centralt ved at optræde både rådgivende og orkestrerende.
Balancen mellem det centrale og det decentrale risikoejerskab er et vigtigt skridt på vejen mod en mere moderne, integreret risikostyringsmodel, som ikke hænger fast i fortidens siloopdeling af ansvar, men kan rumme fremtidens forretningsudvikling.
Naturlig udvikling mod større frihed
Udviklingen er helt naturlig, da digitaliseringens brændstof netop er friheden til at sætte fart i udviklingen og meget hurtigt komme i luften med ny it, og særligt cloudløsninger har gjort det nemt at anskaffe og implementere ny teknologi.
Hvis de tiltag gang på gang bliver bremset af et centralt styret it-bureaukrati af sikkerhedspolitikker, kan det hurtigt skabe konflikter. I værste fald kan konflikterne føre til, at de decentrale forretningsenheder begynder at omgå sikkerhedspolitikkerne, fordi de oplever dem som en irriterende spændetrøje. Omgåelse af sikkerhedsreglerne er selvfølgelig aldrig tilladt. Men det sker. Og i dag, hvor digitaliseringen dikterer et helt andet tempo i forretningsudviklingen, sker det oftere, når der opstår en ubalance i risikostyringen mellem de centrale og decentrale risikoejere i en organisation.
Erstat total kontrol med samarbejde
En del af opskriften på, hvordan man rent sikkerhedsmæssigt imødekommer den galopperende digitaliseringsdagsorden er, at it-afdelingen skal opgive forestillingen om, at de skal kontrollere alt. Det skal de ikke, for det kan de ikke. Tankegangen er ganske enkelt ude af trit med virkeligheden og holder derfor ikke længere som risikostyringsprincip.
It-afdelingen skal mere betragte sig selv som facilitatorer af risikostyringen. Det vil sige, at de skal orkestrere samarbejdet mellem det centrale risikoejerskab på den ene side og det decentrale risikoejerskab på den anden side og sørge for, at den ønskede risikoappetit bliver forhandlet ordentligt på plads.
Der kan i princippet måles på alt, og ofte kan performance-målingerne endda automatisere.
Gorm Grosen Christiansen
Som en konsekvens af den direkte involvering af de decentrale forretningsenheder i risikostyringen er det nødvendigt, at der bliver foretaget performancemålinger af, om forretningsenhederne nu også agerer som aftalt. Hvis man sætter dem fri til at handle mere autonomt – og det er grundlæggende en god ide og helt nødvendigt for at bevare konkurrenceevnen – er opsætningen af performancemålinger, det centrale risikoejerskabs eneste mulighed for at sikre, at de vedtagne politikker og retningslinjer bliver overholdt. Performancemålinger skal i denne sammenhæng forstås som frekvensvis rapportering baseret på metrikker, der kan afdække i hvor høj grad organisationen følger de aftalte spilleregler der er forankret i politikker og retningslinjer. Det kan eksempelvis være spilleregler vedrørende medarbejderes og ikke-medarbejderes systemadgange, overholdelsen af juridiske aftaler, medarbejdernes ageren i forbindelse med rejseaktivitet til højrisikolande osv. Der kan i princippet måles på alt, og ofte kan performancemålingerne endda automatiseres, så de ikke resulterer i en administrativ byrde.
Incitamentet til at overholde regelsættet i de decentrale forretningsled er klart: For hvem ønsker at være den person eller det team i organisationen, der ikke bare får alarmklokkerne til at bimle, men som også må finde sig i, at regelbruddet bliver åbenlyst for alle. Performancemålinger og den transparens disse giver virker adfærdsregulerende og opfordrer indirekte det decentrale risikoejerskab til at tage mere af det ansvar, de selv efterspørger.
Opbygning og vedligeholdelse af sikkerhedsopgaverne
For persongalleriet i it-afdelingen handler det som sagt om at træde ind i deres nye rådgivende og orkestrerende rolle som balancestang mellem risikoejerskabet på tværs af organisationen. Derudover skal it-afdelingen fokusere på at opbygge og vedligeholde en robust sikkerhedsarkitektur samt drifte en fleksibel analyse-, overvågnings- og responskapacitet i et security operations center-setup (SOC).
It-afdelingen skal beskrive de sikkerhedsprincipper, der understøtter tænkningen og behovene for digitalisering i de decentrale forretningsenheder. Hvad må vi, og hvad må vi ikke, når vi eksempelvis implementerer en ny cloudløsning? Med et så nuanceret og avanceret trusselsbillede kan det ikke lade sig gøre at kigge overalt i infrastrukturen hele tiden. De risikobaserede sikkerhedsprincipper skal gøre det lettere at kigge de rigtige steder hen, når man opsætter overvågningspunkter på infrastrukturen, ligesom sikkerhedsprincipperne også er dem, der skal sikre, at der bliver reageret rettidigt og korrekt i tilfælde af en sikkerhedshændelse.
I næste indlæg vil jeg se på den hyperkomplekse trusselsudvikling. Sikkerhedstruslen er i kraftig vækst, og modstanderne omfatter fremmede statsmagter, ekstremistiske grupperinger, hackere og alt derimellem. Netop fordi trusselsbilledet er så nuanceret, ender mange virksomheder med at håndtere hver trussel i siloer i stedet for at samtænke de analyser og handlinger, der skal minimere sandsynligheden for at blive ramt af angreb.