Blog om informationssikkerhed, GDPR og compliance

5 gode råd til soloansvarlige for informationssikkerhed

[fa icon="calendar"] 4. december 2023 / af Jakob Holm Hansen

Palle alene i verden. Den følelse kan soloansvarlige for informationssikkerhed godt få, når de bliver mødt med stigende krav til compliance-programmet, men ikke får tildelt ekstra ressourcer til at udføre opgaverne. Direktøren for NorthGRC kommer her de soloansvarlige til undsætning med 5 gode råd, der øger effektiviteten og fremmer ledelsens forståelse for informationssikkerhed.

Flere krav til informationssikkerhed. Færre hænder til at løse opgaverne.

Sådan ser virkeligheden ud i mange mindre og mellemstore virksomheder. Uden at forholde sig til detaljer eller omfanget af opgaven forventer interne og eksterne interessenter, at der til enhver tid er fuld kontrol over compliance-programmet. Men forventningerne – og den stadigt stigende arbejdsbyrde – fører sjældent til ansættelse af flere ressourcer.

Man fristes til at kalde tendensen for “Palle alene i verden-syndromet”. De soloansvarlige for informationssikkerhed beretter om følelsen af at gabe over flere opgaver, end de har tid til at løse. Det er ikke bare utilfredsstillende; det eksponerer også virksomheden for en øget risiko, når den ansvarlige for området ikke har det fulde overblik.

Stop den onde cirkel

Jakob Holm Hansen er direktør i NorthGRC. Han forklarer, at de soloansvarlige for informationssikkerhed arbejder stenhårdt med virksomhedens compliance-program. Men arbejdsindsatsen bliver sjældent anerkendt, fordi de har svært ved at synliggøre resultaterne.

“Når de sikkerhedsansvarlige ikke har overblikket over compliance-programmet, kan de ikke vise overfor ledelsen, hvor der eksempelvis er brug for at sætte ind med ekstra tiltag. Omvendt har ledelsen svært ved at tildele flere ressourcer til compliance-programmet, hvis de ikke kan gennemskue, hvad det præcis er, de bevilliger flere penge til. Det bliver hurtigt en ond cirkel,” siger Jakob Holm Hansen.

Han kommer her med 5 gode råd, der både kan hjælpe den soloansvarlige til bedre arbejdsvilkår og styrke virksomhedens informationssikkerhed.

 1. Skab struktur

  Struktur avler effektivitet. Det gælder indenfor mange arbejdsdiscipliner, og det gælder i særdeleshed indenfor informationssikkerhed. Soloansvarlige for informationssikkerhed kan løfte deres effektivitet betragteligt ved at følge et compliance-program og udføre opgaverne i en prioriteret rækkefølge.

 2. Uddeleger flere opgaver

  Det kan godt være, at der kun er én ansvarlig for informationssikkerhed i en virksomhed. Men det betyder ikke, at den sikkerhedsansvarlige skal udføre alle opgaverne selv. Fordelene ved at uddelegere opgaver til kollegaerne er, at den sikkerhedssvarlige kan bevare overblikket, og at informationssikkerheden bliver bredere forankret, når flere dele af virksomheden er direkte involveret i compliance-programmet.

 3. Automatiser arbejdsgange

  Informationssikkerhed er et område med mange gentagende opgaver, der skal udføres med en fast frekvens fordelt ud over årets 12 måneder. Man kan med fordel systemunderstøtte og automatisere mange af arbejdsgangene, så man ikke glemmer vigtige opgaver, så man ikke bruger mental energi på at opbygge manuelle huskerutiner, og så man får en meget bedre dokumentation for opgaveudførelsen.

 4. Visualisér behov og fremdrift

  Der sker noget med menneskets forståelse, når vi i stedet for kun at bruge ord eller rå data til at forklare komplekse sammenhænge også kan visualisere kompleksiteten. Det kan fremme forståelsen og gøre det nemmere at skaffe flere ressourcer til compliance-programmet, hvis man kan synliggøre fremdriften i form af grafer eller diagrammer og eksempelvis se det forventede ressourceforbrug eller den forventede tidsplan.

 5. Engagér ledelsen

  Der kan opstå en forståelseskløft, når sikkerhedsansvarlige taler med ledelsen om virksomhedens informationssikkerhed. Sikkerhedsansvarlige taler ofte i tekniske termer, mens ledelsen ofte taler forretningssprog. Med de rette rapporteringsværktøjer kan den soloansvarlige for informationssikkerhed bygge bro til ledelsen og dermed skaffe sig selv bedre forudsætninger for at få den nødvendige opbakning til compliance-programmet.

  

Sådan bygger du et årshjul

Vi anbefaler, at man lægger compliance-opgaverne ind i et årshjul. Årshjulet giver dig det fulde overblik over opgaverne og gør det bl.a. enklere at dokumentere ressourcebehovet. 

Vi har skrevet en guide, der i fem simple trin forklarer, hvordan du opbygger et årshjul til dit compliance-program.

Hent vejledningen her.

 

 


Emner: informationssikkerhed, årshjul, compliance-program

Om vores GRC blog

Vores GRC blog giver gode råd og viden om effektiv styring af governance, risk og compliance. Vi fokuserer på at tale primært om informationssikkerhed og databeskyttelse. Standarderne er oftest ISO 27001/2, GDPR, NIS2, DORA og TISAX.

Populære indlæg