.jpeg)
Ikke-eksperter er nøglen til et bæredygtigt GRC-program.
- Det vil sige mennesker, der tror, at ISO 27001 er en drone fra Star Wars.
- Mennesker, der ikke kan citere GDPR artikel 5 og måske endda kalder det “GPDR”.
- Ja, det kan endda være mennesker, der mener, at god cybersikkerhedshygiejne er ikke at skrive deres password på en post-it.
Men det handler ikke kun om awareness-træning.
Hvis du vil opbygge et stærkt og bæredygtigt GRC-program for databeskyttelse og informationssikkerhed, er disse mennesker nøglen til at få det til at fungere. Det er i hvert fald vores erfaring.
For at forstå hvorfor, skal vi tage et skridt tilbage og se på udfordringerne ved en centraliseret tilgang til databeskyttelse og informationssikkerhed.
5 udfordringer ved centraliseret GRC
Du har helt sikkert en eller flere af de her 5 udfordringer, hvis du arbejder i en centraliseret GRC-funktion:
- Du får ikke den information, du har brug for, fra organisationen.
Et eksempel: Marketing har allerede implementeret et nyt system, før du hører om det. - Du oplever et vidensgab.
Du ved alt om databeskyttelse og informationssikkerhed, men for at være effektiv har du brug for information fra dem, der kender virksomhedens processer i detaljen. - Du kæmper for at få budskabet om, at databeskyttelse og informationssikkerhed er vigtigt, ud i organisationen.
- Sårbarhed.
Du er den eneste, der kender til virksomhedens databeskyttelses- og informationssikkerhedsprogram. Hvis du forlader organisationen, skal alt starte forfra. - Du bliver begravet i administration og bruger ikke din tid på de rette ting.
{{factbox-dark}}
Alt det her ved de fleste GRC-folk godt, men det er svært at finde en løsning, for vi har stadig brug for den dybe forståelse af informationssikkerhed og databeskyttelse for at få det til at fungere.
Her kommer den hybride organisation på banen.
Den hybride organisation – en del af løsningen
Den hybride organisation kombinerer dyb viden om informationssikkerhed og databeskyttelse med praktisk viden om forretningsstrategi og processer.
Den første del består af en (sandsynligvis centraliseret) informationssikkerheds- og databeskyttelsesfunktion. Det er her eksperterne med dyb viden om compliance, databeskyttelse og informationssikkerhed sidder.
De bør:
- Lægge GRC-strategien
- Sikre opbakning fra ledelsen og kommunikere regelmæssigt med dem
- Have et struktureret overblik over systemer, leverandører og behandlingsaktiviteter
- Holde styr på virksomhedens Information Security Management System (ISMS)
- Overvåge krav fra myndigheder, kunder og andre interessenter
- Beslutte workflows (også kaldet playbooks) og de systemer, der skal anvendes
- Fange og håndtere nye udviklinger, der udfordrer GRC-programmet, fx:
- Nye systemer
- Nye processer
- Nye risici
- Nye lovkrav eller kundeønsker
Kollegaer med forretningsindsigt
Derudover har du brug for kollegaer i forretningen eller i organisationens afdelinger, som har ansvar for dele af arbejdet med databeskyttelse og informationssikkerhed.
De behøver ikke være eksperter, men de skal have en grundlæggende forståelse af privacy og informationssikkerhed – og først og fremmest kende forretningen.
De bør:
- Dele ansvar for specifikke behandlingsaktiviteter
- Dele ansvar for håndtering af leverandører
- Dele ansvar for specifik awareness-træning
- Dele ansvar for sikkerhedsinitiativer
Stadig en udfordring
Vi ser flere og flere organisationer opbygge hybride GRC-programmer.
Det føles som en lettelse at gå fra papirarbejde til reel cybersikkerhed og databeskyttelse.
- Opbakningen er større.
- Eksperterne i databeskyttelse og informationssikkerhed føler sig mere integreret i organisationen.
Det føles som at være på en lyserød sky.
Men hurtigt opdager de, at samarbejde er fantastisk … men også udfordrende.
To ting sker:
- De ikke-compliance-kyndige synes, det er svært at bidrage.
Når de bliver bedt om at gennemgå en behandlingsaktivitet, aner de ikke, hvad de skal gøre. Når de bliver spurgt om et nyt system, ved de ikke, hvilken information der er nødvendig. - GRC-eksperterne har svært ved at holde styr på, hvad der sker i den hybride organisation.
Hvilke opgaver er udført? Hvilke er forsinkede? Går alt efter planen?
Bygget til samarbejde
Derfor mener vi, at en GRC-løsning skal være bygget til samarbejde.
Vores løsning er:
✅ Indbyggede best practices og in-app hjælp, så ikke-compliance-kyndige let kan forstå, hvad de skal gøre.
✅ En avanceret Task Manager, der giver et komplet overblik over, hvad der sker i den hybride organisation.
5 trends til at gøre skrøbelig databeskyttelse og informationssikkerhed til et bæredygtigt GRC-program
De vigtigste trends:
Trend #1 – Fra centraliseret afdeling til tværorganisatorisk samarbejde
Trend #2 – Fra tjekliste-compliance til balanceret beslutningstagning
Trend #3 – Fra problemorienteret til løsningsorienteret
Trend #4 – Fra juridisk tankegang til strategisk involvering
Trend #5 – Fra styring af registrerede til at tage sig af mennesker
Tilmeld dig vores newsletter 'Sustainable Compliance'
Vores newsletter Sustainable Compliance er tilegnet compliance pros, der arbejder med compliance, GDPR og informationssikkerhed. Vi giver dig viden fra eksperter, diskuterer de seneste trends, læringer og råd inden for compliance. Vi udforsker også, hvordan vi kan omforme den måde, vi tænker og organiserer os omkring compliance, for at skabe en bæredygtig og farbar vej for processerne.
