Ta den viktige helsesjekken!

Ta den viktige helsesjekken!

For å kunne møte den forsterkede cybertrusselen og sikre verdier inn i fremtiden, må bedriften ta stilling til sin egen modenhet på cybersikkerhet og løfte beredskap og planer opp på et nytt nivå.

Kontaktperson

Partner, Advisory

KPMG i Norge

Kontakt

Relatert innhold

Lege som peker på iPad

Cybertrusselen er ikke ny, men fokuset på cybersikkerhet forsterkes som et resultat av mange høyprofilerte, skadelige og forstyrrende hendelser som er med på å skape endringer. Vi hører om alt fra lekkasjer og tyveri av informasjon, omfattende lovbrudd og tap av data, til utro tjenere, svikt i rutiner og infrastruktur. Det er mye som står på spill, og virksomhetene må ta stilling til hvordan de vil respondere på denne økte trusselen og hvilken appetitt de har for risiko.

For å kunne stille en diagnose på virksomhetens cybersikkerhet og evne til å håndtere trusler og hendelser, må du vurdere hvor langt dere har kommet og graden av modenhet. Deretter må virksomheten definere hva som er det ønskede og nødvendige modenhetsnivå, og legge stein for stein for å nå dette målet.

Slik kartlegger du modenhetsnivå

KPMG har utviklet et rammeverk for kartlegging av modenhetsnivået for cybersikkerhet, Cyber Security Assessment (CSA). Det er bygget på KPMGs beste-praksis fra ulike bransjer og selskaper i privat og offentlig sektor, i Norge og internasjonalt. Gjennom vurdering av seks viktige domener, kan det stilles en diagnose som sier noe om hvor moden virksomheten er i dag sett opp mot hvor modne de ønsker å være og hvilket nivå andre virksomheter befinner seg på.

1. Styring og ledelse

Vi har sagt det før, og sier det igjen. Eierskapet til risikostyring og cybersikkerhet må forankres på toppen. Det bør inkorporeres som en sentral del av forretningsstrategien, med føringer og involvering fra toppledelsen og styret.

2. Menneskelige faktorer

Uten en god sikkerhetskultur bestående av de riktige menneskene og fagkompetansene, gode holdninger, opplæring og utvikling, kunnskapsdeling og engasjement, er det vanskelig å skape positive endringer. IT-sikkerhet handler ikke kun om bokser og ledninger. Menneskene og prosessene kommer først.

3. Håndtering av informasjonsrisiko

Her handler det om å kartlegge truslene virksomhetene står ovenfor og hvor stor appetitt for risiko de har. Her ser man på planer for risikohåndtering, hvordan forretningskritisk informasjon og intellektuelle verdier forvaltes i dag, samarbeid med eksterne aktører og hvilket risikonivå organisasjonen ligger i forhold til et ønsket nivå.

4. Kontinuitet i forretningen

I denne dimensjonen kartlegges det hvorvidt virksomheten er beredt på en eventuell hendelse og evner motverge eller minimalisere konsekvensene den kan ha gjennom god krisehåndtering og dialog med ulike interessenter. Sentralt her er eierskap, ansvarsfordeling og utarbeidelse av beredskapsplaner.

5. IT-drift og teknologi

Mange tenker nok at cybersikkerhet i stor grad dreier seg om den IT-tekniske dimensjonen. Imidlertid er den kun ett av seks domener som alle er av like stor viktighet. Her handler det om å kartlegge hvilke kontrollmekanismer som er på plass for å adressere identifiserte trusler og risiko, og minimalisere negative konsekvenser som følge av hendelser.

6. Etterlevelse av lover og regler

Sist, men ikke minst, ser man på hva virksomheten gjør for å etterleve lovpålagte krav og standarder når det kommer til blant annet lagring, bruk og offentliggjøring av informasjon, håndtering av sensitive informasjon, forsikring knyttet til cyberrisiko og lignende.

På bakgrunn av informasjonen som hentes inn og spørsmål som besvares, stilles det så en diagnose på virksomhetens sikkerhetsnivå, og avhengig av hvor din organisasjon havner, defineres et målbilde for modenhet, og en plan for videreutvikling og implementering av nye prosesser og løsninger.

En helhetlig sikkerhetsmodell

En kartlegging av de seks dimensjonene skaper grunnlag for utvikling av en helhetlig sikkerhetsmodell som skaper mange fordeler for organisasjonen. Blant annet minimeres risiko for angrep og skade ved hendelser, informasjon og ansvarsfordeling blir tydeligere, kunnskap og kompetanse styrkes, omdømme bedres gjennom posisjonering av en godt forberedt og rustet organisasjon, og innsikt i trusler og trender bidrar til bedre beslutningstaking.

Vi mener at cybersikkerhet bør dreie seg om hva du kan gjøre – ikke hva som er vanskelig å få til. Ved å høyne ambisjoner og ta kontroll gjennom et strategisk og målrettet arbeid med cybersikkerhet, får virksomheten en unik strategisk fordel.

Vil du vite mer om KPMGs rammeverk og ønsker vår hjelp til å sikre verdier og utvikle virksomhetens sikkerhetsnivå, ta kontakt!  

Ta kontakt

 

Forespørsel

 

Send inn

KPMGs nye digitale plattform

KPMG International har skapt en fremtidsrettet digital plattform som forbedrer din opplevelse av nettstedet.

 
Les mer