En strategi for sikkerhed er lige så vigtigt som en strategi for vækst
Kigger man på de øgede risikoscenarier, der er opstået i kølvandet på den stigende digitalisering, bør det stå klart, at risikostyring skal tænkes ind som en obligatorisk praksis i enhver virksomhed.
I Danmark har vi en meget åben og tillidsfuld kultur. Det er vores styrke i mange sammenhænge, men i den digitale verden, skaber det udfordringer. I dag vil mange IT-sikkerhedschefer nok hævde, at det netop er vores åbenhed og tillidsfulde kultur, der gør det svært at tilpasse sig digitaliseringen. De har erfaret, at det kræver disciplin, kontrol og faste systemer, hvis virksomheden skal lykkes med digitaliseringsrejsen.
Vi bør spejle os i produktionsvirksomheder
Digitaliseringen har igennem mange år tilført en væsentlige bedre bundlinje for produktionsvirksomheder som følge af omkostningsbesparelser, bedre kvalitet og en nedbringelse af fejl. Dette er sket ud fra en standardisering af systemer og kontroller ved alle led i produktionskæden. Der er således ikke plads til, at en medarbejder får ansvaret for udviklingen og gennemførelsen af et led i produktionskæden. Der er klare beskrevne processer og kontroller, som sikrer, at uanset hvem der udfører processen, så har processen den rette kvalitet i alle led.
Ingen kontrol – stor risiko
Når vi overlader store komplekse IT-systemer til den enkelte medarbejder, har vi tillid til, at den enkelte medarbejder selv ”finder ud af det”. Vi har således tillid til, at når medarbejderen har fået sit opdrag, så bliver opgaven løst efter de krav og standarder, som vi har opsat - men gør de det? I realiteten ved vi det ikke, og dermed lever vi efter mantraet ”intet nyt, er godt nyt”. For når kunderne og samarbejdspartnerne ikke brokker sig, så må de jo være tilfredse.
Ledelsessystemer skaber værdi
Det er efterhånden ved at gå op for flere og flere virksomheder, at det skaber stor værdi at have systemer for risikostyring og kvalitet omkring deres håndtering af informationer og IT-sikkerhed. Vi oplever en stigende efterspørgsel i SMV-segmentet på ledelsessystemer, hvor kravene til risikostyring og kvalitet bliver fastlagt og ensrettet, så processerne i større grad er systemafhængig – og ikke personafhængig. Denne efterspørgsel på ledelsessystemer har særligt fået kraftig medvind med indtoget af GDPR de sidste par år.
Trin for trin: Start med strategien for informationssikkerhed
Når nu digitaliseringstoget buldrer derudaf og skaber stor værdi på den korte bane, så skal vi hele tiden have et øje på, om vi har et ”passende” sikkerhedsniveau. Det gælder både, at vi har de rigtige IT-tekniske sikkerhedsforanstaltninger, men i lige så høj grad, at vores medarbejdere kender deres retningslinjer og procedurer for at overholde sikkerhedskravene.
Når man skal arbejde med udvikling at et 'compliance'-program, anbefaler vi, at virksomheder begynder med en klar strategi for, hvordan de forholder sig til informationssikkerhed og håndtering af IT-systemer. Herved skabes der den rigtige grobund for, at strategien for vækst kan blomstre.
Når strategien for informationssikkerhed er på plads, kan der arbejdes med udvikling af retningslinjer og procedurer for de enkelte områder, som følger strategien.
I den forbindelse kan man udarbejde tjeklister, som understøtter medarbejderens kvalitet i arbejdet. F.eks. kan man ved indkøb af nye IT-systemer udfærdige procedurer, som indeholder en tjekliste, hvor de vigtigste spørgsmål er blevet besvaret. Det kunne være:
- Har vi lavet en IT-teknisk risikovurdering af det nye system
- Hvem i virksomheden skal have adgang?
- Skal der behandles fortrolig information?
- Kan vi begrænse mulighederne i systemet pr. default?
- Bliver der behandlet persondata?
- Kan vi logge på et læsbart niveau?
- Skal der indgås databehandleraftale?
Til at sikre at retningslinjerne overholdes kan man implementere faste kontroller, hvor det på jævnlig basis kontrolleres både at retningslinjerne og procedurerne overholdes. Endvidere kan det også kontrolleres at de It-tekniske systemer er opdateret og forsat sikrer den fornødne sikkerhed.
Har du brug for vores hjælp?
Har du spørgsmål til håndtering af informationssikkerhed og compliance, er du altid velkommen til at kontakte en af DAHLs specialister. Vi yder professionel rådgivning på alle områder.