En av de viktigste oppgaver for en CISO/sikkerhetsansvarlig er – proaktivt – å legge en kjøreplan for sikkerheten, og kommunisere den ut i organisasjonen. Du får her en kjøreplan for kjøreplanen.
Det er ikke mange år siden vi sikkerhetsansvarlige måtte kjempe for å få oppmerksomhet og taletid hos ledelsen. Det var en kamp for å få dem til å innse at sikkerhet er kritisk for virksomheten og at de behøvde å interessere seg for dette. Ofte måtte vi bruke wort case scenarios og annen skremselspropaganda, og ofte bli beskyldt for å rope 'Ulv, ulv!'.
Dette har (heldigvis) endret seg. Dels på grunn av høytprofilerte sikkerhetshendelser som har hatt konsekvenser på bunnlinjene rundt om, men også på grunn av GDPR og den bevissthet rundt compliance den har tatt med seg.
Så nå når vi har fått oppmerksomhet og taletid – er vi i mål?
Ikke helt. Først skal vi sørge for å bruke dette fornuftig. Oppmerksomheten rundt sikkerhet kan gi oss nye utfordringer. Plutselig skal vi bruke tid på panikkreaksjoner fra Einar i ledelsen, som har lest noe om ransomware i en nylig artikkel. Eller fra Linn på HR, som har vært på GDPR-kurs og nå vil ha en redegjørelse på våre sletterutiner for personopplysninger. Snart går all ledig tid med til å besvare spørsmål om hvorfor vi har valgt å håndtere den og den risiko på den og den måte.
Vi risikerer å bli trukket inn i en runddans uten særlig innflytelse på retning og strategi for sikkerhet og compliance. Det er derfor viktig å bevege seg over i en situasjon der det er vi som setter agendaen, informerer og styrer dialogen rundt disse temaene.
Det er viktig å huske på at Einar og Linn henvender seg til oss fordi de er usikre, ikke godt nok informert, eller kanskje til og med har noen gode innspill. Vår oppgave er altså nå å kommunisere at vi tar hånd om truslene, vi har en plan for sikkerhet og compliance og vi har et overblikk, selv om vi gjerne tar imot innspill.
For å kunne sette agendaen, er det noen grunnleggende ting vi skal huske på:
Dette er 3 grunnleggende ting som er med på å skape den forankring og forståelse hos ledelsen som vi trenger. Det gir oss forhåpentligvis også et visst overskudd, ved å sørge for at vi kun fokuserer ressurser inn på det som er viktig og relevant for virksomheten. Det gjør det også enklere for alle å vite hvor vi er og hvor vi skal.
Når du nå har en oversikt over hvor vi er og hvor vi skal, kan du begynne å strukturere din kommunikasjon rundt dette. Vår anbefaling er å begynne med en overordnet presentasjon for ledelsen, om sikkerheten og den planen du har lagt.
Den presentasjonen kan eksempelvis inneholde:
Når vi har presentert vår compliance-plan, er det også viktig å følge opp innholdet og fremdriften av planen med jevne mellomrom. En del av planen bør også inkludere jevnlige møter med ledelsen, så du holder dem oppdatert og skjerper fokuset.
På disse møtene er det selvfølgelig smart å ha 100 % oversikt over hva som er gjort siden forrige møte, og hva planen sier om leveranser før neste møte. Det er også her vi kan påpeke eventuelle forutsetninger for en vellykket implementering av planen. Det kan for eksempel være at ledelsen skal godkjenne vår beredskapsplan, før vi begynner på vår planlagte beredskapsøvelse.
Med denne oversikten er det lettere for oss å håndtere eventuelle spørsmål fra ledelsen (og andre). Mange av dem har de selvfølgelig allerede fått svar på, ved at vi har kommunisert ut planene i forkant. Andre spørsmål kan besvares ved enten å henvise til planen, eller ved å gå gjennom de leveranser og tiltak vi nå har implementert.
Så når Einar igjen spør: «Men hva hvis vi blir utsatt for ransomware, da?», så vil svaret være at det er en trussel vi behandler i mai, når vi – i følge planen – gjennomfører våre risikovurderinger. Og dersom ledelsen vurderer at det er behov for å gjøre noen før mai, så kan vi naturligvis flytte om på oppgavene i planen. Men det betyr også at noe annet må vike plass.
Vi er altså nå i en situasjon der vi har oversikt, og har sørget for at ledelsen også har det. Dermed er vi bedre rustet til oppgaven med å drive sikkerhets- og compliance-arbeidet fremover i virksomheten.
Vi har tatt styringen – i stedet for å bli diktert av omstendighetene.