Informationssikkerhed kræver ledelsens opbakning – sådan får du den

Det er efterhånden blevet en fast vending, at man skal skaffe ledelsens opbakning til nye forretningsinitiativer – ikke mindst indenfor informationssikkerhed. Støtte fra beslutningstagerne er da også helt afgørende for en succesfuld drift og udvikling af compliance-programmet. Men hvordan skaffer man lige den støtte? Vores direktør går bag om flosklen og kommer med fem konkrete råd til ansvarlige for informationssikkerhed.“Du skal sørge for at have ledelsens opbakning.”

Sådan lyder det ofte, når ansvarlige for informationssikkerhed spørger kollegaer til råds om, hvordan de skal skaffe de nødvendige ressourcer til eksempelvis et implementeringsprojekt eller generel vedligeholdelse af organisationens compliance-program. Men det gode råd er efterhånden blevet sagt så mange gange, at det har mistet sin værdi. Sikkerhedsansvarlige har mere brug for en dyb indsigt i, hvordan ledelsen forstår og prioriterer informationssikkerhed som et forretningsområde blandt andre forretningsområder i organisationen.

Den form for indsigt har Jakob Holm Hansen, omsat til 5 gode råd, der kan gøre det nemmere for de sikkerhedsansvarlige at skaffe ledelsesopbakning til gennemførsel af vigtige sikkerhedsinitiativer.

1. Skaf taletid

“Først og fremmest skal den sikkerhedsansvarlige skaffe sig selv taletid. Det kan man eksempelvis gøre ved at indkalde ledelsen til en workshop, eller man kan kalde det et møde, hvis det gør lettere at få igennem. Alternativt kan man gøde jorden hos sin egen direktør og bede om lov til at tale på et direktionsmøde, hvor gruppen alligevel er samlet. Hvor det tidligere kunne være svært at få taletid, beder ledelsen i dag oftere og oftere selv den sikkerhedsansvarlige om at orientere dem om informationssikkerhed. Uanset om man selv tager initiativet eller bliver bedt om at deltage på et møde, virker det bedst og mest overbevisende, hvis man proaktivt kan præsentere en plan for organisationens compliance-program. Det handler om at demonstrere kontrol og overblik overfor ledelsen, så de føler sig trygge.”

2. Brug realistiske scenarier

“Ledelsen i en organisation kan ikke nødvendigvis sætte sig ind i informationssikkerhed på samme niveau som den sikkerhedsansvarlige. Så hvis en sikkerhedsansvarlig begynder at tale om avancerede malwaretrusler, spionage fra fremmede stater, og hvad der ellers findes af farverige måder at forholde sig til it-sikkerhed på, er der en risiko for, at de stiger af. De kan meget bedre forholde sig til informationssikkerhed, hvis den sikkerhedsansvarlige tager udgangspunkt i realistiske scenarier forbundet til forretningen. Hvad vil det eksempelvis betyde for forretningen, hvis produktionen går i stå, hvis kunderne bliver sure, hvis virksomheden ikke kan lancere det forventede produkt i 4. kvartal og så videre. Det handler om at omsætte it-trusler til forretningstrusler.”

3. Informationssikkerhed er en proces, ikke et projekt

“Ledelsen forstår godt, at eksempelvis marketing- og salgsinitiativer skal lanceres med jævne mellemrum i en kontinuerlig proces. Men de kan have anderledes svært ved at forstå, at vedligeholdelse af informationssikkerhed også skal ske i en kontinuerlig proces. Det kan godt være, at implementering af eksempelvis en ny sikkerhedsstandard har karakter af et projekt. Men så snart projektfasen er overstået, bliver vedligeholdelsen af den sikkerhedsstandard en del af et compliance-program, der løbende skal overvåges og udvikles. Ledelsens tendens til at opfatte informationssikkerhed som isolerede projektforløb skal udfordres af den sikkerhedsansvarlige, for ellers får man aldrig opbakning til at drive området som et compliance-program. Sådan som det vel at mærke skal drives.”

4. Mandat til at håndtere faldgruber med det samme

“Der er ikke noget, der kan forsinke en proces som pludseligt opståede faldgruber. Det gælder særligt, hvis den sikkerhedsansvarlige ikke har mandat til at håndtere faldgruberne på stedet og derfor må vente på ledelsens beslutning. Den sikkerhedsansvarlige skal forsøge at identificere eventuelle faldgruber – det kan være teammedlemmer, der ikke kan eller vil deltage på planlagte sikkerhedsmøder – og præsentere dem for ledelsen. Skal man eksempelvis planlægge udenom om de pågældende medarbejdere, har man lov til at trække dem ind i processen og så videre? På den måde kan ledelsen selv være med til at prioritere opgaven og allokere de nødvendige ressourcer.”

5. Præsentér ledelsen for løsninger

“Når man som sikkerhedsansvarlig endelig får lov til at tale sin sag for ledelsen, skal man være skarp på, hvad man præsenterer. Det er bestemt nærliggende at fremlægge det samlede trusselsbillede og de scenarier, der risikerer at få negativ indvirkning på organisationens drift. Men en ledelse er også interesseret i at høre, hvad løsningen på udfordringerne er, og hvad det koster at implementere den løsning. Derfor skal man møde velforberedt op, fremlægge situationen inklusive den plan, der sikrer organisationens drift. Hvis man ikke har en løsningsorienteret plan klar til mødet, bliver man højst sandsynligt bedt om at komme igen om nogle måneder.”