I många organisationer följer riskbedömningar en fastställd procedur som bygger på ett antal system och processer som en gång definierades som kritiska. Frågan är om det fortfarande är här som insatserna behöver göras, eller om riskbedömningarna kan effektiviseras?
Om du frågar oss är svaret enkelt: Med rätt verktyg kan du prioritera resurser och använda dem där det är meningsfullt – även när det gäller riskbedömningar.
En koppling mellan riskbedömningar och mål
Ovanstående scenario – där riskbedömningar utförs enligt en fast rutin – fungerar mycket bra. Aktuella risker och sårbarheter identifieras naturligtvis på detta sätt. Men med ett större fokus på organisationens mål går det att effektivisera bedömningsprocessen så att man inte bedömer hot på allt, utan bara på de områden som spelar roll i verksamheten.
Oavsett vad din organisation arbetar med kommer ledningen att definiera en strategi som vanligtvis består av affärsmål, värderingar och liknande. Genom att bryta ner de övergripande målen i delmål är det möjligt att riskbedöma de system och processer som stödjer det individuella målet.
Låt oss ta ett exempel:
En organisations övergripande affärsmål är att tillhandahålla landets bästa kundservice. När det gäller riskbedömningar är det viktigt att fokusera på de kommunikationskanaler som gör att kunderna alltid kan komma i kontakt med organisationen. Samtidigt är det kanske inte riktigt lika nödvändigt att hela tiden fokusera på det interna kommunikationssystemet, så du kan med fördel spara en del resurser här.
LÄS OCKSÅ: Ta kontroll över organisationens ESG-risker
Större förståelse från ledningen
Som säkerhetsansvarig vet du förstås hur viktigt det är att ligga steget före alla typer av hot. Både internt, externt, tekniskt och mänskligt. Däremot kan det vara svårt att få ledningens förståelse för en teknisk riskbedömning av hela systemlandskapet och infrastrukturen – men om man utgår från de affärsmål de själva varit med om att utforma, då är snacket helt annorlunda.
Föreställ dig att företagets tillväxt under nästa kvartal är knuten till en ny produktlansering. Som säkerhetsansvarig kan du rikta resurser till de risker som kan påverka lanseringen, vilket skapar en bättre förståelse för ditt arbete. Ledningen vet mycket väl vad det innebär för slutresultatet om produktlanseringen går fel på grund av risker som kunde ha undvikits.
"Vanligtvis" finns inte
Om du implementerar riskbedömningsprocesser som är knutna till affärsmål kan du uppleva motstånd från dina mindre anpassningsbara kollegor. Det finns inte längre något som heter "så här brukar vi göra".
Inte för att man måste uppfinna sina arbetsmetoder på nytt. Vänd helt enkelt upp och ner på det traditionella tillvägagångssättet och ta itu med hoten i prioritetsordning.
När du gör riskbedömningar utifrån affärsmål behöver du vara mer aktiv än du "brukar" – du behöver kontinuerligt följa upp om rätt parametrar bedöms. Det kräver affärsförståelse, men resultatet är en mycket effektivare riskbedömningsprocess som säkerställer att du riskbedömer var organisationen gynnas mest.
LÄS OCKSÅ: Ta kontroll över din riskhantering
