Book Demo
Jakob Holm Hansen
Om forfatteren
05 maj 2020

Sådan sætter du dig i førersædet når sikkerheden planlægges

En af de vigtigste opgaver for sikkerhedschefen vil blive - proaktivt - at lægge en køreplan for sikkerheden og kommunikere den ud til organisationen. Du får her en køreplan for køreplanen.

 

Baggrund

 

Det er ikke mange år siden at vi – som sikkerhedsfolk – måtte kæmpe for at få opmærksomhed og taletid hos ledelsen. Det var en daglig kamp at få dem til at indse, at sikkerhed var kritisk for forretningen, og at de skulle interessere sig for det. Ofte måtte vi bruge skræmmebilleder og blive beskyldt for at råbe ”ulven kommer”.

 

Det har heldigvis ændret sig. Dels på grund af højt-profilerede sikkerhedshændelser, der har haft konsekvenser på bundlinjerne, men også på grund af GDPR og den bevidsthed om compliance den har bragt med sig.

 

Udfordringen

 

Så nu har vi fået opmærksomhed og taletid. Er vi så i mål?

 

Ikke helt. Først skal vi sørge for at bruge det fornuftigt, for opmærksomheden på sikkerhed kan give os nye udfordringer. Pludselig skal vi bruge tid på panikreaktioner fra Kurt fra ledelsen, der har læst om ransomware i et magasin i flyet fra Amsterdam. Eller fra Bitten fra HR, der har været på GDPR-kursus og nu vil have en redegørelse for vores sletteregler. Og pludselig går alt vores tid på at besvare spørgsmål om hvorfor vi har valgt at håndtere den og den trussel på den og den måde.

 

Vi risikerer at blive trukket rundt i manegen uden indflydelse på retning og strategi for sikkerhed og compliance.

Vi skal derfor bevæge os over i en situation, hvor der er os der sætter agendaen, informerer og styrer dialogen om sikkerhed og compliance.

 

Get the basics right

 

Det er vigtigt at huske på, at Kurt og Bitten spørger, fordi de ikke føler sig godt nok klædt på eller informeret, og derfor bliver nødt til at trække svar ud af os. Vores opgave er altså nu at kommunikere ud, at der bliver taget hånd om truslerne, at vi har en plan for sikkerhed og compliance og ikke mindst at vi har overblikket.

 

For at kunne sætte agendaen, er der nogle helt grundlæggende ting vi skal have på plads.

 

Vi skal:

  1. Vide hvilke krav omgivelserne stiller til os
    Det kan være kunder, der stiller krav om sikkerhed, standarder, som offentlige myndigheder kræver vi skal efterleve, GDPR, mm.
  2. Kunne gennemskue hvordan sikkerhed og compliance støtter op om vores forretningsmål
  3. Have en plan for hvordan vi etablerer (eller vedligeholder) det sikkerheds- og compliance-niveau som punkterne 1 og 2 tilsiger 
    Det vil sige en konkret projektplan for hvordan vi når det påkrævede sikkerheds- og compliance-niveau, og et årshjul for hvordan vi vedligeholder det.

Disse 3 grundlæggende ting er med til at give os luft og overskud til at skabe den forankring og forståelse hos ledelsen vi gerne vil. Vi opnår dette overskud ved at sørge for, at vi kun fokuserer vores arbejde på det, der er vigtigt for vores organisation, og ved hele tiden at have overblik over hvor vi er og hvor vi skal hen.

 

Sådan sætter vi agendaen

 

Når du nu har overblikket over hvor vi er, og hvor vi skal hen, kan du begynde at strukturere din kommunikation omkring det. Vores anbefaling er at begynde med en helt overordnet præsentation for ledelsen, der omhandler sikkerheden og den plan du har lagt.

Den præsentation kan eksempelvis indeholde:

  1. Hvilke konkrete interessenter (kunder, myndigheder, mv), der stiller krav til os – og hvilke krav
    Og hvad det rent praktisk betyder for os. Altså at vi eksempelvis skal have styr på sletteregler for at efterleve GDPR mm, og at du lige om lidt vil præsentere en køreplan for hvordan vi når derhen.
  2. En præsentation af køreplanen
    Hvilke faser vi skal igennem, hvad de indeholder, hvornår de er planlagt og hvem der skal involveres.
  3. Hvor mange procent af vores plan vi har gennemført - og dermed hvor compliant vi er
    Dette ville man så kunne afrapportere jævnligt til ledelsen, og dermed vise fremdriften.
  4. Hvornår vi er compliant
    Helt konkret hvor mange kalenderdage der er tilbage – ifølge planen – før vi er compliant.

At holde gryden i kog

 

Når vi har præsenteret vores compliance-plan, vil det være naturligt også at følge op på indholdet og fremdriften af den med jævnlige mellemrum.


Som en del af planen bør du huske at indlægge jævnlige møder med din ledelse, så du både holder dem opdateret, men også holder deres fokus ved lige.

 

På disse jævnlige møder er det klogt at have 100% styr på hvad der er foregået og produceret siden sidste møde, samt hvad planen siger der skal være af leverancer inden næste møde. Det vil i øvrigt også være her at vi kan påpege eventuelle forudsætninger for en succesfuld implementering af vores plan. Det kunne for eksempel være at ledelsen skal huske at godkende vores beredskabsplan inden vi kan begynde vores planlagte beredskabsøvelse.

 

Afslutning

 

Med dette nyvundne overblik, er det meget lettere for os at håndtere eventuelle spørgsmål fra ledelsen. Mange af dem har de givetvis allerede fået besvaret af os – proaktivt. Andre spørgsmål vil være nogle vi kan besvare ved enten at henvise til vores plan, eller ved at gennemgå de leverancer eller tiltag vi har implementeret.

 

Så når Kurt igen spørger: ”Men hvad hvis vi bliver ramt af ransomware?” Så vil svaret være at det skam er en trussel vi behandler i maj når vi – ifølge planen – gennemfører vores risikovurdering. Og hvis ledelsen vurderer at der er behov for at handle før maj, så kan vi naturligvis rykke rundt på opgaverne i vores plan, men det betyder at noget andet må vige.

 

Vi står altså i en situation, hvor vi har overblikket, har sørget for at ledelsen også har det, og dermed er meget bedre rustet til opgaven med at drive sikkerhed og compliance i vores organisation.

 

Vi har sat os i førersædet i stedet for at blive trukket rundt i manegen.