Många organisationer har en tydlig bild av vilka krav som gäller och vad som behöver utvecklas inom delar av informationssäkerheten. Men avgörande är hur arbetet styrs. Drivs det som ett nytt initiativ, med egna resurser, ansvar och arbetssätt, påverkar det hur väl styrningen hänger ihop i praktiken. Det menar Christopher Läns, GRC-expert på Stratsys.
Informationssäkerhetsarbetet tar ofta avstamp i ett konkret behov, till exempel nya regelverk som NIS2 och DORA, ökade cyberhot eller krav från kunder, investerare och partners. I detta skede fungerar arbetet väl, eftersom det är tydligt avgränsat. Ansvar, arbetssätt och uppföljning hänger ihop inom ett specifikt område, vilket gör styrningen hanterbar.
Utmaningen uppstår när flera områden ska hanteras samtidigt. Det sker ofta i samband med nya krav eller behov, enligt Christopher Läns på Stratsys.
– När nya krav uppstår behöver arbetet kopplas till organisationens övriga styrning. Det är där många får svårt att hålla ihop ansvar, uppföljning och arbetssätt, eftersom de utvecklas i separata spår, säger Christopher.
Christopher Läns, GRC Lead, Stratsys
Omtag istället för utveckling
I praktiken organiseras arbetet ofta som ett nytt initiativ. Det är något som kräver egen finansiering, nya resurser och i många fall egna arbetssätt. Det som skulle vara en fortsättning hanteras då vid sidan av det befintliga arbetet. Frågan behöver förankras på ledningsnivå och vägas mot andra prioriteringar.
I det läget höjs tröskeln. Arbetet utvecklas till ett större omtag i stället för att bygga vidare på det som redan fungerar.
Konsekvensen blir ofta att arbetet tappar fart eller utvecklas i separata spår. Nya behov hanteras i egna strukturer, i stället för att integreras i det som redan finns. Sällan är det en enskild faktor som avgör, utan trösklarna uppstår i flera delar av organisationen. Till exempel kan det handla om:
- Otydligt ägarskap när fler funktioner involveras.
- Begränsad kapacitet att driva fler parallella initiativ.
- Etablerade arbetssätt är svåra att förändra.
- Erfarenheter av resurskrävande implementationer.
När ansvar, kapacitet och arbetssätt drar åt olika håll blir nästa steg mer omfattande än nödvändigt. Avgörande är inte vad som ska göras, utan hur arbetet organiseras och integreras i styrningen.
– Många organisationer vet vad som behöver göras inom enskilda områden. Utmaningen uppstår när dessa krav ska hanteras samlat. När risk, kontroll och uppföljning ska kopplas ihop i flera delar av organisationen kräver det ofta att arbetet organiseras om, säger Christopher.
Att bygga vidare på samma logik
I det här skedet utvecklas arbetet ofta i flera parallella spår. Nya behov hanteras i egna initiativ, med egna strukturer och processer, i stället för att byggas in i det som redan finns.
Det leder till att styrningen gradvis fragmenteras. Fler processer ska samordnas, rapportering sker i olika flöden och ansvar fördelas över flera initiativ. Den samlade bilden blir svårare att överblicka, samtidigt som den administrativa belastningen ökar. Resultatet blir ofta ett arbete där mycket görs, men där risk, kontroll och uppföljning inte hänger ihop.
Christopher menar att skillnaden inte i första hand handlar om resurser eller ambition, utan om hur nästa steg integreras i befintlig styrning.
– I organisationer som kommer vidare hanteras nästa område som en del av det arbete som redan pågår, snarare än som ett nytt initiativ. Nya behov kopplas till befintlig logik för risk, kontroll och uppföljning, säger Christopher.
Konsekvensen av detta är att styrningen utvecklas utan att fragmenteras samt att komplexiteten hålls på en hanterbar nivå.
Nästa steg i samma struktur
Att nästa steg tas inom samma struktur, i stället för att organiseras som ett nytt initiativ, handlar i praktiken om tre saker:
- En gemensam struktur för risk, kontroll och uppföljning inom flera områden.
- Att ansvaret kvarstår där arbetet redan bedrivs.
- Nya krav integreras i befintliga arbetssätt, i stället för att etableras som egna processer.
Effekten blir en styrning där samma logik används över flera områden, att uppföljningen bygger på jämförbara underlag och att komplexiteten inte ökar i onödan.
Styrning som håller ihop över tid
I slutändan handlar det sällan om att förstå vad som behöver göras. För de flesta organisationer är riktningen tydlig inom enskilda områden. Det avgörande är hur arbetet organiseras i styrningen.
När arbetet etableras som ett eget initiativ ökar omfattningen snabbt. Nya strukturer, ansvar och arbetssätt behöver sättas upp. När det i stället byggs in i det arbete som redan bedrivs kan utvecklingen fortsätta utan att arbetet organiseras om.
Det är också här värdet av en sammanhållen styrning blir konkret. Samma logik kan användas över flera områden och uppföljningen bygger på jämförbara underlag. Styrningen kan då utvecklas utan att komplexiteten ökar i samma takt. Resultatet är en mer hållbar styrning över tid.
.jpg?width=600&height=600&name=blabla%20(1).jpg)
