Risikovurder som et team: “Det er utrolig vigtigt at have et fælles sprog”
Risikostyring handler om samarbejde – om at inddrage de rette personer og have en god proces. Men det handler også om, hvordan man sikrer ensartethed, når man netop inddrager kolleger, der kan have en anden frygt eller holdning end en selv. Et universelt rammeværk er et godt udgangspunkt.
.jpeg)
Preben fra marketing frygter, at et phishingangreb, som kan føre til misbrug af kunders kontaktoplysninger, er lige rundt om hjørnet og noterer det som højrisiko i risikomatricen. Samtidig synes Birte fra HR, at et ransomwareangreb lyder som noget, der næppe rammer hendes afdeling.
Identificering af cybertrusler mod virksomheden kan være en subjektiv proces, hvor de enkelte medarbejderes følelser og frygt kommer i spil. Så hvordan sikrer man en ensretning, hvor alle taler samme sprog?
Det diskuterer informationssikkerhedsekspert Marie Bjerre Simonsen fra Wired Relations og GRC chef Sofie Freja Christensen fra Dubex i et webinar om risikostyring.
Risikovurderinger skal fodres med viden
Ved første indskydelse vil mange nok tænke, at risikovurderinger hører til, og skal laves, i compliance-teamet. Men risikovurderinger får kun liv, hvis de fodres med viden fra dem, der sidder med systemerne og processer til daglig, forklarer Sofie:
"Hvis man centraliserer alle risikovurderinger, så har man ikke nødvendigvis kompetencen eller forståelsen for, hvordan det egentlig udmønter sig, og hvordan hverdagen er i de forskellige afdelinger”.
Det er derfor vigtigt at samarbejde på tværs og inddrage forskellige aktører i arbjedet. Her giver det mening at sikre en god proces, hvor man har en tovholder, der er ansvarlig for at drive processen samt ‘risikoejere’, som har konkret viden og kommer med input.
“Risikoejerne er ikke nødvendigvis dem, der er eksperter i risikovurderinger, og hvordan de udføres. Det er dem, der har den lokale viden omkring brugen af et specifik system eller af en proces,” som Sofie forklarer det.
“Samtidig har man brug for den der dybe faglige viden fra compliance teamet, som kan bringe det videre i noget rapportering og kan oversætte, hvad det er, man kigger ind i,” supplerer Marie.
Et fælles sprog
Man har altså brug for begge roller for at stykke en god og præcis risikovurdering sammen, og det kræver at man finder de rette personer, og som nævnt før, formår at tale samme sprog.
I mindre virskomheder kan det være, at viden sidder på få hænder, hvorfor det er nemt at identificere, hvem der skal være involveret, men i store organisationer kan det være sværere at vide, hvor man skal gå hen.
“Her er det en god ide at kigge til de forskellige afdelingsledere eller dem, der har ansvaret for det pågældende system eller proces, man kigger på,” forklarer Marie.
Når man har identificeret risikoejerne, er det tid til at opsætte nogle rammer for, hvad de forskellige værdier i risikovurderingen betyder.
“Det er i min optik utrolig vigtigt, at vi har et fælles sprog. Det kan godt være supersvært, og det kan være, at det skal rettes til hen ad vejen. Men det her med at man får sat sig ned og sagt: Hvad betyder det, når vi har en skala fra 1 til 5, hvor konsekvensen er 3 på fortrolighed? Så er det jo vigtigt, at folk forstår, hvad 3 betyder i deres kontekst. Det kan man finde inspiration til i ISO 27005.”
“Det er det, der skal til for, at vi kan tale det her ensartede sprog. Ellers så bliver det nemlig mavefornemmelse og Preben, der synes, at det her, det må aldrig ske, mens Birte på den anden side synes, at det ikke er så slemt,” forklarer Marie.
Bind sløjfe på
Med en fælles ramme og Preben og Birtes input, hvordan får man så fulgt risikovurderingen til dørs?
Sofie og Marie forklarer, at det er vigtigt, at man analyserer resultaterne. Man kan ikke kun se på risikoen enkeltstående, men må også identificere om der er nogle koncentrationer af højrisici inde for bestemte områder eller systemer.
“Hvis vi ligger i gul eller rød, så bør vi i hvert fald spørge risikoejeren: Hvad kan man gøre? Hvad vil din indstilling til ledelsen være? Vil det være, at den gule risiko her, den kan vi godt løbe med, for vi kan ikke gøre så meget mere? Eller kan vi gøre xyz foranstaltninger?” siger Sofie.
Dernæst skal det op til ledelsen, forklarer hun.
“I sidste ende er det dem, der skriver under på, at vi accepterer, at vi har de her risici eller har lavet en plan for at mitigere dem”.
Se webinaret om risikostyring
.jpeg)