Governance, Risk, Compliance: Hur IT-avdelningar kan sätta IT-säkerhet på företagets agenda?

IT-Säkerhet på agendan

GRC En rad företag lär sig  den hårda vägen i år; att sköta IT-säkerhet är inte enkelt. Det handlar faktiskt lika mycket om strategi, kultur och ledning som om informationssäkerhet. Så hur hanterar en IT-avdelning detta bäst?

För de flesta IT-proffs är standardmetoden för informationssäkerhet att hantera det som alla andra tekniska utmaningar. Det kan ha fungerat för många år sedan, men antalet och komplexiteten i dagens hot kräver ett mycket större perspektiv.

Att säkerställa information i alla typer av företag kräver nämligen en enhetlig insats från ledningen och alla andra delar av organisationen. Det kräver bland annat nya processer, nya regler och en stark intern kultur. Teknologi ensamt kan inte skydda ett företag; en holistisk strategi behövs.

Vissa IT-chefer kan komma undan med att överlåta till företagsledningen att leda vägen. Men ofta krävs lite proaktivitet i dagens CIO eller Nätverkschef.

Men hur hjälper IT-proffsen ledningen att inse vilka IT-säkerhetsutmaningar som företaget står inför? Och hur skapar de en ram för att hantera informationssäkerhet på strategisk nivå, där den hör hemma?

På Conscia har vi hjälpt ett antal CIO: er och nätverkschefer att svara på dessa frågor. Företagen har genomfört initiativ som har stärkt informationssäkerheten och till och med gett flera affärsfördelar i form av ökad effektivitet, mer kostnadseffektiva processer med mera.

Gemensamt för dessa initiativ finns tre bokstäver: GRC.

Länken mellan GRC och förebyggande, upptäckt, respons

Bakom bokstäverna GRC står orden styrning, risk och efterlevnad (Governance, Risk and Compliance). De introducerades 2003 och utvecklades ursprungligen som ett paradigm för att bättre balansera behov och krav med ekonomiska resurser när nya organisatoriska och tekniska åtgärder skulle vidtas. Till skillnad från en snäv process och systemfokus beskriver de en 360-graders strategi.

Tillämpad på informationssäkerhet erbjuder GRC en metod för att sätta övergripande organisatoriska mål för framgång och hantering av risker. I stället för att närma sig informationssäkerhet ur en IT-synvinkel är GRC förankrad i en företagsstrategi. Detta öppnar för ett antal tillämpningsområden för metoden, till exempel kan GRC hjälpa till att uppfylla Dataskyddsförordningen GDPR:s krav.

Om detta inte räcker för att övertyga ledningen att köpa in en 360-graders informationssäkerhetsinsats, bör en kort lista över några av de största säkerhetshaverierna hos stora företag under de senaste åren göra det. Sony, Hoya Japan, A.P. Møller-Mærsk, Travelex och många andra led alla stora förluster i form av data, driftsstörningar, affärsförluster, skada på varumärket och så vidare.

I motsats till tidigare år då cyberattacker hölls hemliga av de angripna företagen, har nyheterna om dessa senaste överträdelser nått de stora redaktionella medierna, vilket belyser de verkliga hoten och konsekvenserna som företag kan möta om de inte är ordentligt beredda.

Men medan vi alla känner till dessa cyberattacker, berättas det sällan exakt om hur angriparna gjorde för att lyckas – och inte heller hör allmänheten vad som kan ha gjorts för att förhindra intrången

I vilket fall som helst är det en felaktig strategi att fokusera enbart på förebyggande av cyberattacker. Hoten mot informationssäkerhet utvecklas ständigt, vilket gör det helt omöjligt att hålla sig 100% säker. En sund IT-säkerhetsstrategi kan inte bara fokusera på att förebygga attacker.

På Conscia anser vi att IT-säkerhet bör byggas på tre övergripande nivåer: förebyggande, upptäckt och respons.

Tricket är att hitta den exakta rätt blandningen av de tre – att kontinuerligt balansera nivåerna, så att de bäst kompletterar varandra och bildar den nödvändiga säkerhetsnivån för varje del av organisationen. Detta arbete måste baseras på ett strategiskt underlag, och det är här GRC kommer in i bilden.