Kravene til informasjonssikkerhet øker. Samtidig opplever mange at ressursene ikke strekker til. Ifølge Christopher Läns i Stratsys handler den største utfordringen ikke om ressurser, men om hvordan arbeidet er organisert. Med riktig struktur er det mulig å få større effekt av arbeidet som allerede gjøres.
Nye regelverk, mer avanserte trusler og en økende avhengighet av eksterne leverandører øker presset på mange organisasjoner. Samtidig mangler det tid, kompetanse og kapasitet til å møte alle de nye kravene og forventningene. Det finnes en tilbakevendende opplevelse av at ressursene ikke er tilstrekkelige.
Kravene øker ikke bare i omfang, men også i kompleksitet. Samtidig utvikler styring og arbeidsmåter seg ikke i samme takt. Det er denne ubalansen som preger mange organisasjoner i dag.
Utfordringen handler ikke først og fremst om ressurser, men om hvordan arbeidet er organisert, ifølge Christopher Läns, som arbeider med GRC- og informasjonssikkerhetsspørsmål i Stratsys.
– Det er veldig vanlig å beskrive dette som et ressursproblem. Men når man begynner å se på hvordan arbeidet faktisk foregår, handler det ofte om noe annet. Mye av arbeidet kan være fragmentert, manuelt og uten en gjennomarbeidet struktur eller tydelig ansvar, sier Christopher.
Christopher Läns, GRC-ekspert i Stratsys
Kontinuerlig arbeidsmåte
Utviklingen innen informasjonssikkerhet innebærer at forventningene øker, noe som setter spørsmålet om organisering på spissen. Tidligere punktinnsatser og innsamling av grunnlag før årlige revisjoner er ikke lenger tilstrekkelig.
Samtidig er mange organisasjoner fortsatt bygget opp rundt arbeidsmåter som følger en annen logikk. Arbeidet drives i prosjektform, der oppfølging skjer ved bestemte anledninger og ansvaret ofte er utydelig eller delt mellom flere funksjoner. I en slik situasjon er det langt fra sikkert at løsningen er økte ressurser. I stedet handler det i stadig større grad om kontinuitet, der oppfølging, kontroll og risikohåndtering skjer løpende og som en del av den daglige virksomheten.
Ifølge Christopher er dette en sentral utfordring:
– Kravene endrer seg uten at arbeidsmåtene følger med. Det skaper en situasjon der organisasjoner forsøker å møte nye krav med gamle strukturer. Følgen er unødvendig friksjon og et konstant etterslep i arbeidet, der tempoet overstiger organisasjonens evne til å håndtere kravene på en effektiv måte, sier Christopher.
"Kapasiteten bindes opp i administrasjon"
Når presset øker, betyr det i praksis ofte at den totale administrative belastningen vokser. Det innebærer imidlertid ikke at selve mengden arbeid knyttet til risikoene øker. Flaskehalsen i mange organisasjoner er at den samme informasjonen håndteres i flere trinn og i flere ulike systemer. Oppfølgingen skjer parallelt, i ulike funksjoner. For virksomheten betyr dette at de får gjentatte forespørsler om å bidra med underlag.
Det innebærer også at ressursene brukes på feil ting, ifølge Christopher.
– En altfor stor del av arbeidet handler ikke om å håndtere risikoer, men om administrasjon. Man samler inn, sammenstiller og kvalitetssikrer. Ofte flere ganger. Mye av kapasiteten bindes opp i slikt som i stedet kunne vært brukt til analyse og beslutninger. Følgen er en opplevelse av at tiden ikke strekker til, sier Christopher.
Kostnaden ved fragmentering
De siste årene har stadig flere organisasjoner investert i systemstøtte for informasjonssikkerhet, risiko og etterlevelse. Det er i seg selv positivt, men gode verktøy alene er ikke nok. Når de samme dataene lagres på ulike steder, informasjon spres over flere systemer og oppfølging skjer i separate flyter, blir det vanskelig å skape et sammenhengende bilde av situasjonen. Også arbeidet må struktureres for å redusere risikoen for fragmentering.
– Det er ikke uvanlig at den samme kontrollen følges opp i flere systemer, av ulike funksjoner og ved ulike tidspunkter. Det skaper både dobbeltarbeid og usikkerhet om hva som faktisk gjelder. Alt dette påvirker til slutt beslutningstakingen, sier Christopher.
Konsekvensen er at organisasjonen bruker mer tid på administrasjon enn på det faktiske innholdet i arbeidet.
Kapasitet kontra organisering
For å forstå problemet er det nyttig å skille mellom kapasitet og organisering. Kapasitet handler om mengden ressurser, for eksempel antall personer eller tilgjengelige verktøy. Organisering handler om hvordan ressursene brukes og hvordan arbeidet henger sammen i praksis.
Å øke kapasiteten er en ryggmargsrefleks som mange organisasjoner faller tilbake på. Ressurser tilføres, verktøy innføres og initiativer settes i gang. Men hvis arbeidet er fragmentert, spiller det liten rolle. Det er glippet i strukturen som skaper problemene.
– Man prøver å løse problemet ved å legge til mer. Men hvis strukturen ikke fungerer, øker egentlig bare kompleksiteten. Hver ny ressurs eller løsning risikerer å skape ytterligere behov, sier Christopher.
Når strukturen derimot er sammenhengende, endres arbeidet grunnleggende. Fokuset flyttes fra administrasjon og koordinering til analyse og beslutninger.
Håndtak for effektivitet
Løsningen for å redusere den administrative belastningen er å skape bedre forutsetninger for arbeidet. Og det finnes noen fellestrekk blant organisasjoner som har kommet lenger i dette arbeidet.
– Disse organisasjonene har en tydelig struktur der risikoer, kontroller og ansvar henger sammen. Det gjør at de slipper mye av det manuelle arbeidet og kan utvikle seg konsekvent over tid, sier Christopher.
Konsekvensen av at alt henger sammen, er et redusert behov for koordinering og dobbeltarbeid, samtidig som kvaliteten i oppfølgingen forbedres.
Faktisk styring
Når kravene øker, risikerer også den administrative belastningen å øke i samme takt. I stedet for bare å tilføre flere ressurser må organisasjoner endre hvordan arbeidet drives. Informasjonssikkerhet må i større grad være en del av den løpende styringen, snarere enn noe som håndteres ved siden av. Arbeidet må være kontinuerlig, integrert og datadrevet. Først da blir effekten tydelig:
– Når strukturen sitter, endres mye annet samtidig. Man går fra å jage informasjon til faktisk å kunne bruke den. Det skaper helt andre forutsetninger for å fatte velbegrunnede beslutninger, sier Christopher.
Tydelige tegn på endring
Hva er det så som endres når strukturen er på plass? En stor del handler om hva organisasjonen kan få ut av arbeidet sitt:
- Oversikt. Et samlet og pålitelig bilde av risikosituasjonen, uten manuell sammenstilling.
- Forretningsforankring. Forståelse for hvordan risikoer påvirker mål, prioriteringer og investeringer.
- Ansvar. Sikrer at ansvar og aktiviteter henger sammen i organisasjonen.
- Oppfølging. Gjør løpende oppfølging av tiltak mulig.
- Beslutningsstøtte. Beslutninger basert på oppdatert og sammenlignbart grunnlag.
Takket være disse mulighetene kan informasjonssikkerhet bli en fullt integrert del av styringen.
Struktur er nøkkelen
Det mangler ikke bevissthet om hvor viktig informasjonssikkerhet er. Ambisjonen er sjelden problemet, og heller ikke viljen til å arbeide mer systematisk. I mange tilfeller finnes både kompetanse og engasjement allerede. Utfordringen handler snarere om å få arbeidet til å henge sammen.
– Neste steg handler ikke om å gjøre mer, men om å skape bedre struktur i det som allerede gjøres. Det er den beste måten å frigjøre tid og få effekt i arbeidet på, sier Christopher.
I praksis handler dette om å forenkle strukturen. Først når arbeidet henger sammen, er det mulig å utnytte kapasiteten fullt ut. Det er da styring omsettes til handling.
.jpg?width=600&height=600&name=iStock-1349030917%20(1).jpg)