Vi står midt i en tid, hvor både lokale og globale myndigheder stiller større og større krav til kontrol med forretningspraksis gennem strammere regulering. Samtidig kræver både myndigheder og samarbejdspartnere dokumentation for sikkerheden.
Begge dele fordrer, at du som sikkerhedsansvarlig har overblik over organisationens arbejde med informationssikkerhed. En opgave der ofte besværliggøres af, at opdelte og isolerede organisatoriske siloer arbejder på deres helt egen måde i egne systemer.
Det er ikke nemt at få overblik over og navigere i.
Ønsker du en integreret og ensrettet tilgang til informationssikkerhed på tværs af organisationen, skal du have ledelsens opbakning. Den får du (lettere), hvis du følger nedenstående fire råd.
1) Få taletid – DU skal overbevise ledelsen
Det er fristende at ty til nærmeste leder, når du skal pitche fordelene ved et tværgående program for informationssikkerheden. I så fald når forklaringen dog ud i andet, tredje eller fjerde led, inden den når direktionsgangen – hvis den overhovedet når frem.
Indkald i stedet til et møde, eller bed om lov til at tale på næste direktionsmøde, så du proaktivt demonstrerer for ledelsen, at emnet er essentielt.
LÆS OGSÅ: Kamstrup sætter strøm til deres informationssikkerhed
2) Hold dig til genkendelige scenarier
Som sikkerhedsansvarlig er du helt på det rene med informationssikkerhedens mange begreber, trusler og muligheder, men det er ledelsen ikke.
Hold dig fra tekniske udtryk og langhårede begreber, og brug i stedet realistiske scenarier. Det kan du gøre ved at forklare præcis, hvad eksempelvis en given it-trussel kan have af konsekvenser for virksomheden – for eksempel hvis følsomme data lækkes til tredjepart.
3) Vis, at ISMS er en proces – ikke et enkeltstående projekt
I første omgang ønsker du måske et compliance-program, der kan ensrette arbejdet med informationssikkerheden. Det er dog vigtigt, at ledelsen forstår, at informationssikkerhed er en kontinuerlig proces.
Når implementeringen af programmet er afsluttet, bliver vedligeholdelse næste skridt, så sikkerheden løbende overvåges og udvikles.
Du skal derfor tydeliggøre og sikre opbakning til, at arbejdet med informationssikkerhed ikke er et enkeltstående projekt, men en proces der foregår dag efter dag.
4) Præsenter ledelsen for en løsning
Når du endelig har fået taletid, er det vigtigt, at du udnytter den optimalt. Du skal naturligvis fremlægge det samlede trusselsbillede, der nødvendiggør et compliance-program, men du skal også præsentere en løsning.
Gør din research, og undersøg på forhånd, hvilket system der kan understøtte netop jeres behov. Præsenter ledelsen for en løsning på udfordringerne sammen med prisen for implementering, så de ved nøjagtigt, hvad de skal forholde sig til.
