Mange organisasjoner har et tydelig bilde av hvilke krav som gjelder og hva som må utvikles innen deler av informasjonssikkerheten. Men avgjørende er hvordan arbeidet styres. Drives det som et nytt initiativ, med egne ressurser, ansvar og arbeidsmåter, påvirker det hvor godt styringen henger sammen i praksis. Det mener Christopher Läns, GRC-ekspert hos Stratsys.
Informasjonssikkerhetsarbeidet tar ofte utgangspunkt i et konkret behov, for eksempel nye regelverk som NIS2 og DORA, økte cybertrusler eller krav fra kunder, investorer og partnere. I denne fasen fungerer arbeidet godt, fordi det er tydelig avgrenset. Ansvar, arbeidsmåter og oppfølging henger sammen innen et spesifikt område, noe som gjør styringen håndterbar.
Utfordringen oppstår når flere områder skal håndteres samtidig. Det skjer ofte i forbindelse med nye krav eller behov, ifølge Christopher Läns hos Stratsys.
– Når nye krav oppstår, må arbeidet kobles til organisasjonens øvrige styring. Det er der mange får problemer med å holde sammen ansvar, oppfølging og arbeidsmåter, fordi de utvikles i separate spor, sier Christopher.

Christopher Läns, GRC Lead, Stratsys
Omstart i stedet for videreutvikling
I praksis organiseres arbeidet ofte som et nytt initiativ. Noe som krever egen finansiering, nye ressurser og i mange tilfeller egne arbeidsmåter. Det som skulle være en fortsettelse, håndteres da ved siden av det eksisterende arbeidet. Saken må forankres på ledelsesnivå og veies opp mot andre prioriteringer.
I den situasjonen heves terskelen. Arbeidet utvikles til en større omstart i stedet for å bygge videre på det som allerede fungerer.
Konsekvensen blir ofte at arbeidet mister fart eller utvikles i separate spor. Nye behov håndteres i egne strukturer, i stedet for å integreres i det som allerede finnes. Sjelden er det en enkelt faktor som avgjør, men tersklene oppstår i flere deler av organisasjonen. For eksempel kan det handle om:
- Utydelig eierskap når flere funksjoner involveres.
- Begrenset kapasitet til å drive flere parallelle initiativ.
- Etablerte arbeidsmåter som er vanskelige å endre.
- Erfaringer med ressurskrevende implementeringer.
Når ansvar, kapasitet og arbeidsmåter trekker i ulike retninger, blir neste steg mer omfattende enn nødvendig. Det avgjørende er ikke hva som skal gjøres, men hvordan arbeidet organiseres og integreres i styringen.
– Mange organisasjoner vet hva som må gjøres innen enkelte områder. Utfordringen oppstår når disse kravene skal håndteres samlet. Når risiko, kontroll og oppfølging skal kobles sammen i flere deler av organisasjonen, krever det ofte at arbeidet omorganiseres, sier Christopher.
Å bygge videre på samme logikk
I denne fasen utvikles arbeidet ofte i flere parallelle spor. Nye behov håndteres i egne initiativ, med egne strukturer og prosesser, i stedet for å bygges inn i det som allerede finnes.
Det fører til at styringen gradvis fragmenteres. Flere prosesser må samordnes, rapportering skjer i ulike løp og ansvar fordeles på flere initiativ. Det samlede bildet blir vanskeligere å overskue, samtidig som den administrative belastningen øker. Resultatet blir ofte et arbeid der mye gjøres, men der risiko, kontroll og oppfølging ikke henger sammen.
Christopher mener at forskjellen ikke først og fremst handler om ressurser eller ambisjon, men om hvordan neste steg integreres i eksisterende styring.
– I organisasjoner som kommer videre, håndteres neste område som en del av arbeidet som allerede pågår, snarere enn som et nytt initiativ. Nye behov kobles til eksisterende logikk for risiko, kontroll og oppfølging, sier Christopher.
Konsekvensen av dette er at styringen utvikles uten å fragmenteres, og at kompleksiteten holdes på et håndterbart nivå.
Neste steg i samme struktur
At neste steg tas innen samme struktur, i stedet for å organiseres som et nytt initiativ, handler i praksis om tre ting:
- En felles struktur for risiko, kontroll og oppfølging innen flere områder.
- At ansvaret blir værende der arbeidet allerede utføres.
- Nye krav integreres i eksisterende arbeidsmåter, i stedet for å etableres som egne prosesser.
Effekten blir en styring der samme logikk brukes på tvers av flere områder, der oppfølgingen bygger på sammenlignbart underlag, og der kompleksiteten ikke øker unødvendig.
Styring som henger sammen over tid
Til syvende og sist handler det sjelden om å forstå hva som må gjøres. For de fleste organisasjoner er retningen tydelig innen enkelte områder. Det avgjørende er hvordan arbeidet organiseres i styringen.
Når arbeidet etableres som et eget initiativ, øker omfanget raskt. Nye strukturer, ansvar og arbeidsmåter må settes opp. Når det i stedet bygges inn i arbeidet som allerede pågår, kan utviklingen fortsette uten at arbeidet omorganiseres.
Det er også her verdien av en sammenhengende styring blir konkret. Samme logikk kan brukes på tvers av flere områder, og oppfølgingen bygger på sammenlignbart underlag. Styringen kan da utvikles uten at kompleksiteten øker i samme takt. Resultatet er en mer bærekraftig styring over tid.