Kraven på informationssäkerhet ökar. Samtidigt upplever många att resurserna inte räcker till. Enligt Christopher Läns på Stratsys handlar den största utmaningen inte om resurser, utan om hur arbetet är organiserat. Med rätt struktur går det att få större effekt av det arbete som redan görs.
Nya regelverk, mer avancerade hot och ett växande beroende av externa leverantörer. Trycket ökar på många organisationer. Samtidigt saknas tid, kompetens och kapacitet för att möta alla de nya kraven och förväntningarna. Det finns en återkommande upplevelse av att resurserna inte räcker till.
Kraven ökar inte bara i omfattning, utan även i komplexitet. Samtidigt utvecklas styrning och arbetssätt inte i samma takt. Det är den obalansen som präglar många organisationer idag.
Utmaningen handlar inte i första hand om resurser, utan om hur arbetet är organiserat, enligt Christopher Läns, som arbetar med GRC- och informationssäkerhetsfrågor på Stratsys.
- Det är väldigt vanligt att man beskriver det som ett resursproblem. Men när man börjar titta på hur arbetet faktiskt går till, så handlar det ofta om något annat. Mycket av arbetet kan vara fragmenterat, manuellt, utan någon genomarbetad struktur eller tydligt ansvar, säger Christopher.
Christopher Läns, GRC-expert på Stratsys
Kontinuerligt arbetssätt
Utvecklingen inom informationssäkerhet innebär att förväntningarna ökar, vilket ställer frågan om organisering på sin spets. Tidigare punktinsatser och insamling av underlag inför årliga revisioner är inte längre tillräckliga.
Samtidigt är många organisationer fortfarande uppbyggda kring arbetssätt som bygger på en annan logik. Arbetet bedrivs i projektform, där uppföljning sker vid särskilda tillfällen och ansvaret ofta är otydligt eller uppdelat mellan flera funktioner.
I det läget är det långt ifrån säkert att lösningen är ökade resurser. Istället är det i allt större utsträckning en fråga om kontinuitet, där uppföljning, kontroll och riskhantering sker löpande och som del av den dagliga verksamheten.
Enligt Christopher är det här en central utmaning:
- Kraven förändras utan att arbetssätten följer med. Det ger en situation där organisationer försöker möta nya krav med gamla strukturer. Följden är onödig friktion och ett konstant eftersläp i arbetet, där tempot överstiger organisationens förmåga att hantera krav på ett effektivt sätt, säger Christopher.
”Kapaciteten binds upp i administration”
När trycket ökar betyder det i praktiken ofta att den totala administrativa belastningen växer. Det innebär dock inte att själva mängden arbete kopplat till riskerna ökar. Flaskhalsen i många organisationer är att samma information hanteras i flera steg och i flera olika system. Uppföljningen sker parallellt, i olika funktioner. För verksamhetens del innebär det att de får återkommande förfrågningar om att bidra med underlag.
Det innebär också att resurserna läggs på fel saker, enligt Christopher.
- En alltför stor del av arbetet handlar inte om att hantera risker, utan om administration. Man samlar in, sammanställer och kvalitetssäkrar. Ofta flera gånger om. Mycket av kapaciteten binds upp i sådant som istället hade kunnat ägnas åt analys och beslut. Följden är en upplevelse av att tiden inte räcker till, säger Christopher.
Kostnaden av fragmentering
Under de senaste åren har allt fler organisationer investerat i systemstöd inom informationssäkerhet, risk och efterlevnad. Det är visserligen bra, men det räcker inte med bra verktyg. När samma data lagras på olika ställen, information sprids över flera system och uppföljning sker i separata flöden blir det svårt att skapa en sammanhängande bild av läget. Även arbetet behöver struktureras upp för att minska risken för fragmentering.
- Det är inte ovanligt att samma kontroll följs upp i flera system, av olika funktioner, vid olika tillfällen. Det skapar både dubbelarbete och osäkerhet kring vad som faktiskt gäller. Allt det här påverkar i slutändan beslutsfattandet, säger Christopher.
Konsekvensen blir att organisationen lägger mer tid på administration än på det faktiska innehållet.
Kapacitet kontra organisering
För att förstå problemet är det bra att skilja på kapacitet och organisering. Kapacitet handlar om mängden resurser, till exempel antal personer eller tillgängliga verktyg. Organisering handlar om hur resurserna används och hur arbetet hänger ihop i praktiken.
Att öka kapaciteten är en ryggmärgsreflex som många organisationer hemfaller åt. Resurser tillsätts, verktyg införs och initiativ startas. Men om arbetet är fragmenterat spelar det ingen roll. Glappet orsakar problem.
- Man försöker lösa problemet genom att lägga till mer. Men om strukturen inte fungerar, så ökar egentligen bara komplexiteten. Varje ny resurs eller lösning riskerar att skapa ytterligare behov, säger Christopher.
När strukturen däremot är sammanhållen förändras arbetet i grunden. Fokus flyttas, från administration och koordinering till analys och beslut.
Hävstång för effektivitet
Lösningen för att minska den administrativa belastningen är att skapa bättre förutsättningar. Och det finns några gemensamma nämnare i organisationer som har kommit längre i arbetet.
- Organisationerna har en tydlig struktur där risker, kontroller och ansvar hänger ihop. Det gör att man slipper mycket av det manuella arbetet och kan utvecklas konsekvent över tid, säger Christopher.
Konsekvensen av att allt hänger ihop är ett minskat behov av koordinering och dubbelarbete, samtidigt som kvaliteten i uppföljningen förbättras.
Faktisk styrning
När kraven ökar riskerar den administrativa belastningen också i samma takt. Istället för att enbart tillföra mer resurser behöver organisationer förändra hur arbetet bedrivs. Informationssäkerhet behöver i större utsträckning vara en del av den löpande styrningen, snarare än något som hanteras vid sidan om. Arbetet behöver vara kontinuerligt, integrerat och datadrivet. Först då blir effekten tydlig:
- När strukturen sitter förändras mycket annat på samma gång. Man går från att jaga information till att faktiskt kunna använda den. Det skapar helt andra förutsättningar för att fatta välgrundade beslut, säger Christopher.
Tydligt kvitto på förändring
Vad är det då som förändras när strukturen sitter? En stor del handlar om vad organisationen kan göra av sitt arbete:
- Överblick. En samlad och tillförlitlig bild av riskläget, utan manuell sammanställning.
- Affärskoppling. Förståelse för hur risker påverkar mål, prioriteringar och investeringar.
- Ansvar. Säkerställer att ansvar och aktiviteter hänger ihop i organisationen.
- Uppföljning. Möjliggör löpande uppföljning av åtgärder.
- Beslutsstöd. Beslut baserat på aktuella och jämförbara underlag.
Tack vare dessa möjligheter kan informationssäkerhet bli en del av styrningen fullt ut.
Struktur är nyckeln
Det saknas inte medvetenhet om hur viktigt det är med informationssäkerhet. Ambitionen är sällan problemet och inte heller viljan att arbeta mer systematiskt. I många fall finns båda kompetens och engagemang. Utmaningen handlar snarare om att få arbetet att hänga ihop.
- Nästa steg handlar inte om att göra mer, utan om att skapa bättre struktur i det som redan görs. Det är det bästa sättet att frigöra tid och få effekt i arbetet, säger Christopher.
I praktiken handlar det om att förenkla strukturen. Först när arbetet hänger ihop går det att använda kapaciteten fullt ut. Det är då styrning omsätts i handling.
Om du uppskattade den här artikeln kan vi även rekommendera Bättre styrning - undvik parallella spår inom informationssäkerhet eller Riskmognad i praktiken - förmågan att omsätta styrning i handling
