Nya regelverk som NIS2 och DORA adresserar ofta samma underliggande risker. En gemensam struktur gör det möjligt att minska dubbelarbete och stärka styrningen inom informationssäkerhet. Det menar Christopher Läns, som är GRC-ansvarig på Stratsys.
Kraven på styrning och riskhantering ökar samtidigt som regelverken blir fler. För många organisationer innebär det parallella strukturer med olika ansvariga funktioner, processer och verktyg.
Christopher Läns arbetar med GRC- och informationssäkerhetsfrågor på Stratsys. Han ser ett tydligt mönster i hur organisationer hanterar utvecklingen.
- Risken är att organisationer bygger upp parallella spår för att hantera de olika regelverken. Det sker ofta stegvis, i takt med att nya krav tillkommer. Konsekvensen blir att arbetet växer i komplexitet och att det blir svårare att skapa en samlad bild av risk och kontroll, säger Christopher.
Christopher Läns, GRC-expert på Stratsys
Parallella kontroller är ineffektiva
Risker kopplade till IT och leverantörer är exempel på frågor som återkommer i flera regelverk. Ett krav på incidenthantering i ett regelverk motsvaras av liknande krav i ett annat. Andra återkommande teman är dataskydd och kontinuitet.
När kraven bryts ner och implementeras var för sig bygger organisationen upp parallella kontroller, i olika system och med olika funktioner. Resultatet blir fler lager av arbete kring samma fråga. Christopher menar att det här leder till ineffektivitet:
- Konsekvensen är att man skapar flera kontroller som i praktiken gör samma sak, men som följs upp separat. Det skapar både dubbelarbete och en otydlighet kring vad som faktiskt är viktigt, säger Christopher.
Lästips: 7 framgångsfaktorer i ert arbete med IKT-risker
Dubbelarbete och ökad belastning
När samma information efterfrågas i flera sammanhang drabbar det också organisationen. Belastningen på verksamheten ökar med återkommande frågor och förväntan om att bidra med underlag till parallella uppföljningar. Det skapar inte bara ineffektivitet, utan påverkar också kvaliteten i arbetet.
När fokus ligger på att leverera underlag till flera processer finns risken att arbetet blir reaktivt. Istället för att analysera risker och prioritera åtgärder ägnas tiden åt att svara på krav.
Följden är en växande trötthet i organisationen kopplad till uppföljning och granskning.
- Många organisationer upplever att de ständigt befinner sig i någon form av granskning eller uppföljning. Det kan leda till att risk- och kontrollarbete upplevs som administration snarare än som ett stöd för verksamheten, säger Christopher.
Trots mer tid och ökade resurser blir det svårt att få en tydlig bild av riskläget och vad som behöver prioriteras. Arbetet tappar effekt.
Risk och kontroll, inte regelverk
Att bryta utvecklingen kräver ett perspektivskifte. Istället för att utgå från vad regelbokens kravbilder visar, blicka inåt. Genom att utgå från organisationens risker och kontroller går det att koppla samma kontroll till flera regelverk.
Ett gemensamt kontrollbibliotek blir en central komponent. Där definieras kontroller en gång och kopplas till relevanta regelverk. Det minskar behovet av duplicerat arbete.
I grunden handlar det om ett skifte i synen på efterlevnad.
- Arbeta med en gemensam kontrollstruktur istället för att bygga upp arbetet per regelverk. Det förändrar mycket. Du får en tydligare bild av vad ni faktiskt gör. Det handlar inte om att göra mindre, utan om att göra det som redan görs på ett mer sammanhållet sätt, säger Christopher.
Tvärfunktionell struktur
En viktig aspekt handlar om hur arbetet organiseras. Ansvaret för risk, efterlevnad och informationssäkerhet är ofta fördelat på olika funktioner. Ur ett specialistperspektiv kan det vara praktiskt, men det skapar utmaningar när samma frågor ska hanteras i flera delar av organisationen och ni strävar efter en gemensam bild.
Lösningen är en tvärfunktionell struktur där olika funktioner arbetar utifrån samma modell, med gemensamma definitioner och en samlad uppföljning. På så sätt kan ni koppla ihop risker, kontroller och aktiviteter på ett effektivt sätt.
- Det handlar inte om att slå ihop funktioner, utan om att få dem att arbeta utifrån samma struktur. Med ett gemensamt sätt att beskriva risker och kontroller blir det enklare att samordna arbetet, säger Christopher.
Bidrar till bättre beslut
Minskad fragmentering leder inte bara till effektivare arbete. När fokus skiftar från att uppfylla krav leder det också till mer genomtänkta beslut för organisationen som helhet. Det bidrar till:
- Bättre överblick. En samlad bild av risker och kontroller.
- Minskat dubbelarbete. Färre upprepade förfrågningar.
- Mindre överlappning. Samma kontroll för flera regelverk.
- Fokus på rätt sak. Lättare att prioritera kritiska risker.
- Bättre beslutsstöd. Jämförbart underlag som går att använda i styrningen.
Nästa steg i arbetet
I takt med att regelverken fortsätter att utvecklas ökar överlappningen mellan dem. Det ökar behovet av en sammanhållen struktur. Att istället hantera regelverk separat riskerar att förstärka problemet.
Enligt Christopher är nästa steg naturligt för många organisationer:
- Mitt råd är att ta tag i era strukturer istället för att investera i fler processer eller verktyg. Satsa på att minska fragmenteringen genom att börja i strukturen. Genom att slå ihop arbetet minskar ni komplexiteten på samma gång, säger Christopher.
Styrning i praktiken
Utmaningen för många organisationer bottnar sällan i brist på ambition eller vilja, utan i hur arbetet är organiserat. När regelverk hanteras i silos uppstår en komplexitet som försvårar överblick och försvagar styrningen.
Genom att arbeta med en gemensam struktur, där risker och kontroller hänger ihop över regelverk och funktioner, kan fragmenteringen minska och effekten i arbetet öka.
I praktiken handlar det om att förenkla strukturen. Först när arbetet hänger ihop går det att använda kapaciteten fullt ut. Det är då styrning omsätts i handling.
Läs mer om hur Stratsys kan stödja er i arbetet med informationssäkerhet och dataskydd.
.jpg?width=600&height=600&name=iStock-1349030917%20(1).jpg)