Hvad holder din leder vågen om natten? Derfor er det nøglen til god risikostyring

Vidensniveauet og ikke mindst opmærksomheden omkring cybersikkerhed er stigende på ledelsesgangene rundt omkring i landet. 

Det konkluderer både informationssikkerhedsekspert Marie Bjerre Simonsen fra Wired Relations og GRC chef Sofie Freja Christensen fra Dubex i et webinar om risikostyring.

“Vi ser, at virksomheder i højere grad bliver kompromitteret af hackere, og flere oplever, at deres eksistensgrundlag bliver revet væk under dem. I nogle tilfælde så alvorligt, at de bliver nødt til at begære konkurs, forklarer Sofie Freja Christensen som grunden til den øgede opmærksomhed.

Cyber bevidstheden er en positiv udvikling, dels fordi den øverste ledelse nu har et personligt ansvar i overholdelsen af NIS2 lovgivningen, men også fordi deres input gør det nemmere for dig, der skal lave risikovurderinger at ramme plet i forhold til det, der reelt er en bekymring for virksomheden.

Tal i scenarier

Risikovurderinger er grundstenen i et godt informationssikkerhedsprogram – og det kræver en målrettet indsats at identificere de risici, der er mest relevante for netop ens organisation.
‍
Trusselskataloger kan være en god kilde til inspiration, men det er vigtigt også at tænke bredere, mener både Sofie og Marie. 

Helt konkret bør man starte med et blankt stykke papir og overveje: Hvad ser vi i vores egen virkelighed? Hvad er vi mest bekymrede for? På den måde undgår man at blive begrænset af allerede eksisterende antagelser. 

“Det er meget vigtigt at forstå, hvad det er, ledelsen er bange for,” siger Marie.

“Hvis vi kun kigger på de risici, som vi allerede har identificeret, så bliver det meget statisk.  Vi bliver nødt til at hive det op på det højeste niveau og sige, er det stadig de her ting, der er  vigtige for vores virksomhed?” tilføjer Sofie, som også mener, at det er vigtigt, at risikovurderingerne bliver revideret mindst en gang om året.

En god måde at få startet dialogen med sin ledelse, er ifølge Marie, at tale i scenarier. 

“Det her med at spørge: Hvad er det vi er allermest bange for kan ske? Det har jeg faktisk brugt meget aktivt. Det sætter hurtigt gang i samtalen, fordi man begynder at tale om konkrete scenarier. Hvad ville være virkelig katastrofalt for os? Det er jo i bund og grund trusselsbaseret – det udspringer af en trussel. Man får bare talt sig varm på det på en mere praktisk måde.

Det er en langt mere tilgængelig tilgang for en organisation end at præsentere et trusselskatalog, som sikkerhedstovholderen måske fint kan forholde sig til, men som forretningen har svært ved at omsætte til praksis. Det gør det nemmere for flere at engagere sig og bidrage, forklarer hun.

Kreativitet fremmer risikovurderingerne

Udover de risici, der måtte holde din leder vågen om natten, er der også andre måder, man kan søge efter inspiration til risikoarbejdet. Og det kræver gerne, at man tænker lidt kreativt.

“Der er en tendens til, at man har X antal risici i et Excel-ark, som man tænker er dem, man skal forholde sig til, og så ryger kreativiteten lidt ud,” siger Sofie.

Her er det vigtigt at holde sig informeret om, hvad der sker i verden. For eksempel ved at orientere sig i nyhedsbreve, medier og netværksgrupper. 

“Det er ikke fordi jeg siger, at man skal sidde i dagspressen hver og hver anden dag. Men  det har jo også lidt at gøre med, hvad der faktisk sker derude,” siger Marie.

Særligt kan man også orientere sig hos dem, der er i samme branche som en selv, ligesom det giver mening at kigge på interne arbejdsgange i forhold til, om der er noget, der foregår uhensigtsmæssigt.  

Se webinaret om risikostyring

Hent det her

‍