Tenk risikostyring tidlig! | KPMG | NO

Tenk risikostyring tidlig!

Tenk risikostyring tidlig!

Å jobbe langsiktig og planmessig med krav og retningslinjer for cybersikkerhet kan nok for mange virke som en vanskelig oppgave. Karin Kristiansen i KPMGs cyberavdeling gir sine tips til hvordan virksomheten bør gå frem for å få en mer lønnsom tilnærming til risikostyring og compliance.

1000

Senior Manager

KPMG in Norway

Kontakt

Relatert innhold

Gruppe med mennesker som sitter rundt et møtebord

Cybersikkerhet handler ikke kun om teknologi, trusseletterretning og implementering av forsvarsmekanismer. Det handler også om å etablere strukturer, prosesser og retningslinjer som understøtter virksomhetens forretningsstrategi, krav og regelverk, og sørge for at sensitiv og forretningskritisk informasjon behandles og sikres på en god måte.

Viser vei på endringsreisen

Karin Kristiansen er Senior Manager i KPMGs cyberteam. Hun er utdannet jurist og har mange års erfaring med informasjonssikkerhetsprosjekter knyttet til sikkerhetsorganisering, compliance og personvern fra konsulentbransjen og offentlig sektor, deriblant EY, Utlendingsdirektoratet, DIFI og Politiets data- og materielltjeneste.

-Steg én er å ta en fot i bakken og finne ut hvor viktig cybersikkerhet er for virksomheten. Det er flere måter vi kan bistå kundene med det. Ut fra hvor viktig virksomheten selv mener cybersikkerhet er, kan vi etablere en strategi for å nå definerte mål – inkludert roller og ansvar, ressurser og endringsvillighet, forklarer hun.

-Som rådgivere må vi forstå kundenes behov og hvilke forretningsprosesser som innebærer en cyberrisiko. Hvor befinner de seg i dag og hvor de er villige til å gå med de kostnadene det innebærer?

Proaktiv cybersikkerhet gjennom risikostyring

Karin mener virksomheter har mye å hente gjennom å ha en mulighetsorientert og proaktiv tilnærming til krav og regelverk, og er grunnleggende opptatt av å hjelpe kundene på den endringsreisen som kreves for å få på plass en mer strategisk og lønnsom strategi for informasjonssikkerhet og risikostyring.

-Virksomhetens strategier og tiltak må være godt forankret i risikobildet, herunder risiko knyttet til regelverket innen cybersikkerhet. I tillegg til formelle krav er det viktig å forstå standarder og ledende praksis. Dessverre er det altfor mange reaktive virksomheter som kun er opptatt av å etterleve minstekrav og lukke avvik, uten at de egentlig har vurdert hva som er viktig og hvilken risiko de er villig til å leve med. De blir hengende etter og går glipp av muligheter og gevinster som kan oppnås gjennom en strategiske og proaktive tilnærming til informasjonssikkerhet og compliance, påpeker Karin.

-Jeg tør påstå at det alltid er mer kostbart å være reaktiv enn proaktiv, spesielt hvis endring er påkrevet som resultat av en tilsynsrapport eller interne gjennomganger. Prosessen vil da være mer preget av endringstvang enn endringsvillighet. Og i flere tilfeller fører det ikke til endringer i det hele tatt. Det blir som å trene i januar og deretter gå tilbake til vanlige vaner – du får ikke noen varig resultat, poengterer hun.

Tydelig kommunikasjon

Et viktig element i Karins arbeid er å hjelpe kundene med å etablere krav på en måte som gjør at organisasjonen forstår hva det handler om, – og få det til å fungere.

-Når det kommer til regler, retningslinjer og prosesser handler det i stor grad om mennesker og kommunikasjon. Bruk av ord og uttrykk kan fort få ulik mening i forskjellige grupper. Det er en reise fra toppen, via mellomledelsen til utviklerne og teknikerne. Vi må finne en riktig balanse og ikke gå i den vanlige fellen ved å skulle være så tydelig at det blir altfor detaljert og omfattende, forklarer Kristiansen og fortsetter:

-Når kravene er satt må de etterleves. Compliance handler om å ha kontroll og gjøre det du har sagt du skal gjøre. Uforståelige krav bør fjernes og utydelige retningslinjer omformuleres. Her har mange virksomheter en stor jobb som må gjøres!

Gir viktig starthjelp

Virksomheten kan ringe Karin og resten av cyberteamet i KPMG når de ønsker å få hjelp til å kvalitetssikret sine prosesser, krav og retningslinjer for informasjonssikkerhet. Karin påpeker at drømmeprosjektet for henne er når kunden engasjerer KPMG i en tidlig fase, og hun kan veilede og bistå helt fra start.

-Vi ønsker å se på behovene og kravene til informasjonssikkerhet sammen med virksomheten, og ha en tett oppfølging gjennom hele endringsreisen –  fra kartlegging og vurdering av krav og behov, via utarbeidelse av optimale retningslinjer og strukturer, til implementering, gjennomføring og måling av resultater, sier rådgiveren.

-Det er helt avgjørende at alle nivåer i organisasjonen er involvert. Både toppledere, mellomledere og teknologer har en viktig rolle i arbeidet med å forankre og sikre gode prosesser og sørge for at krav og retningslinjer etterleves. Det hjelper ikke å ha endringsvillige mellomledere dersom topplederne ikke er med på å drive endringer, understreker hun.

Nøkkelspørsmål må besvares

Når virksomheter skal foreta et løft innen sitt arbeid med cybersikkerhet, bør de stille noen sentrale spørsmål:

  • Hva er egentlig behovet?
  • Hvem har behovet?
  • Hvor er virksomheten i dag?
  • Hvor ønsker vi å gå?
  • Hvor mye ressurser er vi villige til å bruke?
  • Hvor mange endring er vi villige til å gjennomføre?
  • Hva får vi igjen for investeringen?

Det er tilsynelatende enkle spørsmål, men svarene kan være komplekse. Og de er med på å definere rammebetingelsene for arbeidet som skal gjøres. Med et slikt utgangpunkt vil vi være i stand til å bistå virksomheten med å løse spesifikke behov som de kan jobbe videre med – også etter at vi som eksterne rådgivere har overlevert arbeidet.

Ta kontakt

 

Forespørsel

 

Send inn