Hændelsen i høstakken

Mange virksomheder og organisationer mangler overblik over hændelser som fejl, tab eller ”tæt-ved”. Det gælder også, selv om det er hændelser knyttet til virksomhedens væsentligste forretningsprocesser.

Finanstilsynet sætter nu langt mere fokus på dette emne og uddeler gerne næser og løftede øjenbryn til selv meget store virksomheder. Det handler om, at disse problemer – når de ikke slår igennem i bogføringen er udsat for en meget svingende proceshåndtering. For nu at sige det mildt. I min optik er det først og fremmest et kulturelt problem, men der er nogle lavthængende frugter at plukke, når vi skal have det ind i hverdagen.

informationssikkerhed

Persondata, panik og passivitet

”Hvor bliver kinesere indlagt, når de skal på hospitalet?” Spørgsmålet fik jeg på åben gade i København af en munter hospitalsklovn, som var ude og fundraise til de 37 hospitalsklovne, som spreder glæde hos tusindvis af indlagte børn i Danmark. Jeg havde selv indbudt til at lytte til vittigheden, og min velvilje rakte til et økonomisk bidrag til klovnenes arbejde. Klovnen hev en iPad frem og lige dér på åben gade afleverede jeg CPR-nummer og adresse. Var det nu klogt? Var hospitalsklovnen – hin maskerede mandsperson – nu faktisk også en godgørende hospitalsklovn? Hvad er det nu, en ondsindet kriminel person kan bruge mine persondata til?

Jeg var kommet hjem efter en lang ferie i Europa, og de professionelle parader var kun delvist oppe i den rette højde, og hverdagens seletøj var slet ikke solidt spændt på endnu. Da jeg få uger tidligere flyttede ind på campingpladsen nede i de varme lande, afleverede jeg ligeledes en serie af persondata, og hvis jeg havde investeret 15-20 minutter af min dyrebare ferietid i shorts og klip-klappere, kunne jeg gennemlæse tre plancher med campingpladsens lange beskrivelse af sin persondatapolitik. Jeg valgte at lade være. Og jeg var næppe alene. Mon ikke 99 pct. af alle feriegæster undlader at sætte sig ind i persondatahåndtering med to børn i den ene hånd og en gammeldags isvaffel i den anden?

Da familien kom tilbage til vores egne himmelstrøg peakede Pokemon Go feberen til et sted langt højere på termometerets skala end det danske sommervejr. Jagten gik ind, børnene fik lov, og undervejs i processen gav jeg app’en lov til at hente data i Gmail. Ligesom alle andre brugere af Pokemon Go, og her har vi så en global app med adgang til mine lokationer og min Gmail. Uha da da.

Og så ellers afsted på arbejde og ind til det gode forsikringsselskab, som er min kunde, og som netop havde entreret med Microsoft som cloud-leverandør. Men betyder det så – i lyset af skærpede krav til håndtering af personfølsomme data – at et dansk forsikringsselskab skal til at risikovurdere og sikkerhedstjekke sin mange gange større hosting-leverandør?

Alt i alt må man bare konstatere, at vi står på tærsklen til et uoverskueligt, ikke-standardiseret og stadig helt ukendt land af digitaliseret virkelighed på persondata-området. Rækkevidden af teknologien og dens samfundsmæssige virkning er umulig at overskue. Vi har noget viden, men vi har ikke al nødvendig viden, og en gylden standard virker ikke tæt på. Derfor kan vi svinge mellem panik og passivitet og alt sammen indhyllet i et slør af ugennemsigtighed. Det bliver nærmest en instinktiv beslutning i situationen, om man vælger det sikre eller det usikre. For selv om man har nok så meget viden, og selv om man arbejder med GRC og it-sikkerhed til daglig, så er tvivlen jo en fast følgesvend her. EU’s persondataforordning vil givetvis hvirvle en masse støv op, når virksomhederne skal opnå compliance med disse internationale spilleregler på området. Men også privat – altså hvordan jeg skal forholde mig som privatperson – er der rigtig mange spørgsmål, hvor svarene blæser i vinden.

Men et svar har jeg da fået: Kinesere bliver indlagt på rishospitalet.

GRC software

LinkGRC får ny softwarearkitekt

Steen Milter Jacobsen er tiltrådt som senior software architect hos LinkGRC. Steen kommer fra en stilling som senior application architect hos KMD, og han har tidligere arbejdet hos Rambøll Informatik, Microsoft og Navision.

”Vi er to personer med ansvar for LinkGRC’s softwareplatform, og det passer mig supergodt”, siger Steen Milter Jacobsen. ”Jeg har arbejdet med .Net stort set fra lanceringen, så i den forstand bliver det på min sædvanlige hjemmebane. Jeg glæder mig nu især til igen at arbejde for en lille organisation med højt til loftet. Korte beslutningsgange, masser af sund fornuft og plads til at sætte sit eget præg på arbejdet, det passer godt til mig.”

Hos LinkGRC skal Steen Milter Jacobsen videreudvikle de eksisterende softwareløsninger, som er i drift i en række større danske virksomheder. LinkGRC supplerer rollen som konsulent og rådgiver med at it-understøtte arbejdet med politikker, procedurer og kontroller inden for risikostyring.

Steen Milter Jacobsen er oprindeligt uddannet som datamatiker fra 1994 og han bor sammen med sin kone og sit barn i Vanløse.

Energinets it-sikkerhed i langsigtet turnaround

Ledelsesmæssig opbakning og et strategisk initiativ løfter it-sikkerheden hos Energinet.dk. Virksomheden bag forsyningsnettet til Danmarks elektricitet og naturgas er kommet langt, men indsatsen fortsætter. LinkGRC hjalp med sikkerhedsprocedurerne.

”Vi er lykkedes med at hæve vores it-sikkerhed væsentligt. Vi er ikke i mål, men vi flytter os væsentligt fremad mod et ambitiøst mål. Det har krævet en del tilløb og givet læring og erfaring”, siger Vice President og CIO Morten Gade Christensen fra Energinet.dk. Han har stået i spidsen for en langsigtet forandring af kultur, teknologi og procedurer på it-sikkerhedsområdet i virksomheden. Energinet.dk måler sine fremskridt med den anerkendte metode CMMI til at måle organisatorisk modenhed og tager nu nogle store skridt op af modenhedsskalaen. Fra et udgangspunkt på 2,0 har Energinet.dk nu nået 3,14 og næste mål er 3,5.

Nøglen er, at informations-sikkerhed er ét af seks strategiske indsatsområder i koncernstrategien hos Energinet.dk. Virksomheden har den vigtige opgave at sikre, at danskerne har strøm i stikkontakterne og gas i hanerne. Et voksende digitalt indhold i selve forsyningsnettet og et ændret trusselsbillede betyder, at it-sikkerhed er forretningskritisk, når man skal sikre energiforsyningen både på kort og langt sigt. Indsatsen omfatter ny teknologi, nye procedurer og en kulturel indsats for at løfte alle 900 medarbejderes bevidsthed om it-sikkerhed.

LinkGRC overbeviste os ved første møde. Vi var slet ikke i tvivl om, at det her var deres spidskompetence. Senere kunne jeg se, at konsulenterne kombinerer hands-on-forståelse for en it-installation og hele revisor-fagligheden. Det betyder, at de går med os ind i maskinrummet og får det til at fungere i begge verdener”, siger Nicolaj Peulicke, som afdelingsleder med ansvar for IT Digitalisering hos Energinet.dk.

 

Ledelsesforankring er alfa og omega

”Vi har lagt et helt andet fokus. I stedet for at være drevet af frygt ser vi nu it-sikkerhed som en aktiv og offensiv strategisk prioritet. Den forankring i ledelsen og kulturen er alfa og omega”, siger Nicolaj Peulicke fra Energinet.dk. Han er afdelingsleder i it-funktionen med ansvar for arbejdet med it-sikkerhed. ”Den forandring giver motivation og glæde ved vores fremskridt, og vi undgår en lang ørkesløs kamp med fokus på at rette fejl. Vi har brudt en ond cirkel. Tidligere spurtede vi afsted i et kapløb, hvor vi altid var et skridt bagud”.

En vigtig del af arbejdet hos Energinet.dk er formaliseringen af interne processer og procedurer på sikkerhedsområdet. Gennem samarbejdet med LinkGRC har Energinet.dk opnået en meget hurtig fremgang på dette område.En vigtig del af arbejdet hos Energinet.dk er formaliseringen af interne processer og procedurer på sikkerhedsområdet. Gennem samarbejdet med LinkGRC har Energinet.dk opnået en meget hurtig fremgang på dette område.

CIO Morten Gade Christensen fra Energinet.dk var i landsdækkende tv med en kritisk historie om utilfredsstillende it-sikkerhed. Siden er den kvartalsmæssige CMMI-måling af sikkerhedsmæssig modenhed gået fra 2.0 til tilfredsstillende 3,14, fordi Energinet.dk har givet problemet fuldt fokus.

Konsulenthjælp gav hurtige resultater

”Konsulenterne var en kæmpe hjælp for os. Vi kunne sikkert godt have gjort det selv, men vi ville ikke have været færdige endnu. På omkring seks måneder fik vi brudt en samlet sikkerhedspolitik ned i procedurer og processer med en klarhed og en detaljeringsgrad, så vi kan arbejde videre med dem. Styrken er, at konsulenterne fra LinkGRC har prøvet det så mange gange før, og at de kommer med en stor viden, masser af erfaring og en bank af best practice standarddokumenter”, siger Nicolaj Peulicke.

Hos Energinet.dk arbejdede it-folkene og konsulenterne sammen i en række workshops, hvor procedurerne blev tilpasset og forankret i organisationen. Nu har Energinet.dk klare svar på spørgsmålene til den enkelte procedure som kan være forskellige typer af drifts procedurer med en klarhed på Hvem? Hvornår? Hvordan? Hvorfor? På næste trin i modenhedsmodellen vil Energinet.dk arbejde videre med kontrollerne og den videre interne implementering i organisationen og integration i de forskellige processer.

Positiv revisor

”Vi er ikke i mål endnu, men vi er oppe på et helt andet niveau. Vi har taget et syvmileskridt, men vi har samtidig klare pejlemærker for, hvordan vi kommer videre”, siger Nicolaj Peulicke, der selv har en uddannelse som Cand IT og en MBA i forandringsledelse med i den uddannelsesmæssige bagage.

Energinet.dk tager hele denne systematiske og organisatorisk velfunderede forandring for sin egen skyld. Den højere modenhed har så den positive afledte effekt, at Energinets revisorer fra PwC anerkender, at der er styr på sagerne i positive revisionsrapporter.

”LinkGRC overbeviste os ved første møde. Vi var slet ikke i tvivl om, at det her var deres spidskompetence. Senere kunne jeg se, at konsulenterne kombinerer hands-on-forståelse for en it-installation og hele revisorfagligheden. Det betyder, at de går med os ind i maskinrummet og får det til at fungere i begge verdener. Vores arbejde med proces og procedurer fungerer set ud fra best-practice og de virker også som et integreret element i vores hverdag. Det er helt afgørende”, siger Nicolaj Peulicke.

Lidelses- og læringshistorie

Nicolaj Peulicke har et glimt i øjet, når han kalder denne turnaround inden for it-sikkerhed for en lidelseshistorie og en læringshistorie. Den vigtigste læring er, at positive langsigtede forandringer skal have ledelsens opbakning. Og dernæst kommer hele motivationssiden.

”Der er nu engang meget mere positiv motivation, hvis man sammen sætter sig et mål om at blive bedre. Man kommer jo heller ikke til at gennemføre en maraton, bare fordi man ved, at det er sundhedsskadeligt ikke at dyrke motion. Det er meget sjovere og har meget mere effekt, hvis man konkurrerer med en kollega om at være hurtigst på en DHL-stafet. Den motivation har vi fundet til at forbedre it-sikkerheden, og nu er jeg optimistisk. Jeg tror, at vi når meget langt, fordi vi måler vores fremskridt, vi afsætter ressourcerne og vi har en fælles ambition”.

risikostyring

Unødvendig begrebsforvirring

Dobbeltarbejde og uklare prioriteringer er en uheldig sideeffekt, når virksomheder ikke koordinerer sprogbrug om risikostyring. Med én samlet terminologi om risici vil en virksomhed stå meget stærkere. Kan revisor ikke også benytte virksomhedens begrebsapparat?

Inden for operationel risikostyring har de fleste større virksomheder opbygget et begrebsapparat og en klassificering til at indfange risikoens størrelse, sandsynlighed og modforanstaltninger. Begrebsapparatet afspejler typisk risikoen for kunder og aktionærer. Det vil sige for forretningen og for dens overlevelse. Så vidt så godt. Efter min mening opstår begrebsforvirringen, når andre dele af virksomheden bruger andre terminologier og logikker. It-sikkerhed rapporteres måske i et andet sprogbrug, projektrisici på en tredje måde, intern revision på en fjerde måde, ekstern revision på en femte måde samt tilsynsmyndigheder på en sjette måde. Nogle gange kan man gøre listen over forskellige terminologier endnu længere.

 

Himmel og jord i bevægelse

 

Hvis vi ser på revision, så kommer indspillet derfra typisk med tre prioriteter, som udgør tre ”seedningslag” af anmærkninger. Prioritet et er bestyrelsens anliggende, prioritet to er direktionens sag, mens prioritet tre tænkes ordnet ude i linjeorganisationen. Hvis revisor uddeler en prioritet et, så bringer det himmel og jord i bevægelse, fordi bestyrelsen med det samme forlanger problemet løst. Uanset virksomhedens eksisterende håndtering af risici og uanset problemets forretningsmæssige betydning. Faktisk kan det meget vel betyde, at virksomhedens langsigtede planlægning af risikostyringstiltag bliver udskudt og besværliggjort. Men det er altså et must, fordi revisor har gjort det til et must.

 

Tal samme sprog

 

De mange instanser og de mange siloer burde i min optik tale det samme forretningsmæssige sprog. Bortset fra at pensionskassen næppe får held med at bede Finanstilsynet om bruge virksomhedens terminologi. Men alle de andre interne – og betalte eksterne – instanser burde – i virksomhedens interesse – klassificere risikoen med brug af virksomhedens møjsommeligt opbyggede sprogbrug. Når alt kommer til alt, så handler det hele vel om forretningen og dens overlevelse?

 

Fordelene ved at samle og styrke ét sprogbrug er ganske mange:

 

• Mindre dobbeltarbejde. Der er penge at spare, fordi man hurtigere taler samme sprog, og man undgår bedre, at to instanser udfører dele af den samme opgave.

 

• Skarpere prioritering. Virksomhedens prioritet bliver bedre, når den i alle tilfælde kan prioritere ud fra samme forretningsmæssige logik.

 

• Bedre begrebsapparat. Jo flere der taler sproget, jo flere nuancer kommer der ind i det, og helheden bliver alt andet lige bedre.

 

Bevar adskillelsen

 

Jeg argumenterer ikke for at fjerne funktionsadskillelsen. Der skal naturligvis være afstand mellem de forskellige forsvarslinjer. Men der er ingen grund til at lægge gift ud for hinandens arbejde, når man med ret få greb kan skabe en langt bedre sammenhæng og iboende logik. Det kan passende starte med, at man beder sin revisor om at estimere risici i virksomhedens egen begrebsmæssige model. For revisor er en betalt konsulent, som er sat i verden for at hjælpe virksomheden. Ikke sandt?
it sikkerhedskonsulent

Ny seniorkonsulent hos LinkGRC

Martin Mathiassen er ny seniorkonsulent hos LinkGRC, hvor han skal arbejde med både digital og fysisk sikkerhed. Martin kommer fra en stilling som information Security Manager i hosting-firmaet One.com, og Martin har mange års erfaring inden for digital og personlig sikkerhed.

”Jeg brænder for it-sikkerhed, og det optager mig det meste af tiden”, siger Martin Mathiassen. ”Men jeg bor nok også i det eneste hus i Hundested, hvor den fysiske sikkerhed er på niveau med en banks hovedkvarter. Forklaringen er, at jeg en gang skulle arbejde med uddannelse og dokumentation på et større system til videoovervågning, og derfor fik jeg det installeret hjemme, så jeg fik erfaring med det helt hands-on. Når man arbejder med trusler og sikkerhed til daglig, så føles det faktisk ikke helt dårligt.”

Martin Mathiassen har som konsulent været tilknyttet IBM som teamleder og som deltager i særlige sikkerhedsprojekter, og han har bl.a. arbejdet meget med identity og access management. Martin har også arbejdet i Dansikring som systemadministrator og rådgiver.

Privat er Martin Mathiassen aktiv inden for kampsport, og han er trænet i faldskærmsudspring og dykning.