Blog om informationssikkerhed, GDPR og compliance

Skydeskivens sikkerhedskvadranter - sådan forklarer du informationssikkerhed til ledelsen

[fa icon="calendar"] 12. december 2014 / af Jakob Holm Hansen

 

 

 

Der findes mange forskellige former for tiltag, som virksomheder kan udføre for at beskytte deres informationer og deres forretning. Lige fra klassiske eksempler som firewalls og antivirus, backup/restore til sikkerhedspolitik og it-beredskab, til en række mere eller mindre avancerede teknologier. Modellen viser en række eksempler på tiltag.

For at få struktur på alle disse tiltag deler vi dem op i Fysiske & tekniske tiltag – det er den nederste halvdel på modellen, og Administrative tiltag og processer, som er den øverste halvdel.

 

Dernæst deler vi dem op vertikalt, så vi på venstre side har det man kalder Forebyggende tiltag – det er de tiltag der nedsætter jeres sandsynlighed for en hændelse. I højre side har vi alle de tiltag, som man kalder Udbedrende tiltag. Det er dem, der hjælper jer igennem en hændelse, når den måtte ske. Altså tiltag der skal sikre, at når der sker en hændelse, så er konsekvenserne ikke uacceptabel for virksomheden. Nogle tiltag kan virke både forebyggende og udbedrende.

Modellen kalder vi for skydeskiven. Den har flere interessante anvendelsesmuligheder:

  • Mulighed for mere sikkerhed for pengene  - ”Return of security investments”
  • Risikovurdering (eller mere præcist sårbarhedsvurdering)
  • Klar kommunikation

 

Skydeskiven-Kvadranter-Inforationssikkerhed-DK.001.png

 

Mere sikkerhed for pengene - Return of security investments (ROSI)

Der skal være balance mellem øverste og nederste halvdel. En masse tekniske tiltag der ikke styres løbende og hvor ansvar måske ikke er placeret, giver ringe sikkerhed til virksomheden. Omvendt kan de administrative processer selvfølgelig heller ikke stå alene, for de giver ingen sikkerhed uden de tekniske og fysiske tiltag.

På samme måde skal der være balance mellem højre og venstre side. Da det virker mere proaktivt, er det umiddelbart fristende at prioritere de forebyggende – altså sandsynlighedsreducerende – tiltag. Men det kan samtidigt være dyrt og I kan aldrig få sandsynligheden for hændelser helt ned på 0,00%. Derfor giver det værdi for virksomheden, at man forbereder sig på at hændelser kan forekomme. 
Forberedelserne sikrer at det ikke ”gør lige så ondt” på virksomheden, fx at man kommer hurtigere igennem et uheld den dag det måtte ske. 
Mest sikkerhed for pengene får I derfor ved at sigte I midten – altså ved at sikre en balance mellem de fire kvadranter.

Enklere sårbarhedsvurdering

Den næste anvendelse af skydeskiven er når I skal vurdere jeres sårbarhed. En sårbarhedsvurdering er del af en risikovurdering og –analyse.

Den enkle måde I kan udføre sårbarhedsvurdering på er ved at bruge en kendt modenhedsskala. I hvert kvadrant skal I vurdere modenheden af jeres tiltag i forhold til relevante trusler.  Højest modenhed svarer til højest sikkerhed, altså flest og bedst optimerede tiltag. Men for høj sikkerhed kan være lige så forkert som for lav sikkerhed; det kommer jo an på jeres virksomhed, jeres risikoappetit og jeres ambitionsniveau på sikkerhedsområdet.  Men det gælder for alle virksomheder at I får mest sikkerhed for pengene ved at ramme i midten af skydeskiven, og det betyder at I med fordel kan tilstræbe nogenlunde samme modenhedsniveau i hvert af de fire kvadranter.

Klar kommunikation:

Du kan bruge skydeskiven til at forklare dine kollegaer og ledelse hvad informationssikkerhed er, hvordan man bedst beskytter sig og hvordan man får mere sikkerhed for pengene. Skydeskivens visuelle indtryk gør budskabet nemmere at huske.

Vi bruger også modellen til at forklare, hvordan vi hjælper vores kunder. Det er nemlig den øverste halvdel vi er specialister i. Både i form af compliance værktøjet, der automatiserer styring og opfølgning på mange af de administrative sikkerhedsprocesser og i form af Compliance as a Service, som er rådgivning og assistance fra erfarne compliancekonsulenter.
 
Hvad synes du? Kan I bruge skydeskiven i jeres virksomhed? Har du andre tips til hvordan man kommunikerer sikkerhedstiltag?

 

 

Om vores GRC blog

Vores GRC blog giver gode råd og viden om effektiv styring af governance, risk og compliance. Vi fokuserer på at tale primært om informationssikkerhed og databeskyttelse. Standarderne er oftest ISO 27001/2, GDPR, NIS2, DORA og TISAX.

Populære indlæg