operationel risikostyring

Integreret risikostyring

I denne episode af Risiko Radio taler Tomas med Jakob Hermansen fra VP Securities omkring begrebet integreret risikostyring. Jakob kommer med praktiske eksempler på hvad man skal tænke på, og gode råd fx til skalaer og konsekvensskala identificering og opbygning.
Vi taler blandt andet om:

Hvad er problemet mange steder med den spredte risikostyring
Hvorfor er det vigtigt med fælles risikosprog (herunder sandsynlighed/konsekvensmodel)
Hvad kan fordelen være ved ensartet metoder på tværs af kontrolområderne
Hvorfor er det vigtigt at tale og planlægge sammen
Hvordan kan man med fordel organisere sig

Se eksempel på sansynlighed og konsekvens skala her: https://www.linkgrc.com/wp-content/uploads/2018/04/sandsynlighedogkonsekvensskalaeksempel.pdf

Glad for Risiko Radio? Husk at give os fem stjerner i Apple Podcast.

Og som altid – 1000 tak, fordi du lytter med!

Rådgivning og løsning på GDPR-området

Mange virksomheder har nu rigtig travlt med at gøre sig klar til, at GDPR-kravene slår i gennem i maj 2018. Eksperterne fra LinkGRC kan levere god rådgivning om, hvordan virksomheden kan løse GDPR-opgaven, og LinkGRC’s særlige GDPR-løsning er en mulighed for at it-understøtte arbejdet fremadrettet. Hvordan man kan bruge LinkGRC til at skabe overblik over de vigtigste GDPR-opgaver eller bruge LinkGRCs ”stand-alone” software til at automatisere og forenkle GDPR processerne, kan man læse om i et nyt produktblad.

Læs om GDPR her: www.linkgrc.com/GDPR

it risk management

Læs mere om Trusselskataloget

Arbejder du med IT-sikkerhed, risk eller compliance, og har du brug for et aktuelt billede af de aktuelle cybertrusler? Den udfordring løser LinkGRC med sin serviceydelse kaldet ”Trusselskataloget”. Eksperterne fra LinkGRC screener truslerne og opdaterer løbende et katalog med over 500 trusler, som bliver bearbejdet, koncentreret og prioriteret. Trusselskataloget rummer også forslag til, hvordan man som virksomhed kan arbejde med dem.

Læs det nye produktblad om Trusselskataloget her: www.linkgrc.com/trusselskataloget

it sikkerhedskonsulent

Ny it-sikkerhedsspecialist hos LinkGRC

Marios Argyriou er tiltrådt som konsulent med speciale i it-sikkerhed hos LinkGRC. Marios har gennemført fem års studier i computer science på universitet i Kreta i Grækenland, og han har desuden to års specialuddannelse i it-sikkerhed fra DTU.

-Jeg glæder mig til at bruge min uddannelse i praksis, siger Marios Argyriou, som under sin uddannelse i Grækenland så en attraktiv mulighed i DTU’s 2-årige it-sikkerhedsprogram.

Nu er han færdig fra DTU, og sammen med sin bror bor han i København. Han trives med uddannelse og job i København, men han savner det græske vejr.

Marios har specialiseret sig i metoder inden for authorization og authentication. Marios skal hjælpe med projekter inden for GDPR, informationssikkerhed og it-risikostyring.  Marios kommer desuden til at arbejde generelt med ISO27001/2-rådgivning hos LinkGRC’s kunder.

risikoanalyse

Ubrugelig risikorapportering er en risikofaktor!

I min daglige gang i risikostyringens hverdag i danske virksomheder ser jeg gang på gang en alarmerende ringe risikorapportering. Kommunikation, der ikke virker, er i sig selv en risikofaktor!

For mange år siden var jeg fastansat og arbejdede på gulvet med risikostyring. Hver måned skulle jeg sammenstykke en tommetyk rapport og printe den i 25 eksemplarer til ledelsen. Min fornemmelse var, at den ikke blev læst og brugt i al sin velmente detaljerigdom, så jeg eksperimenterede med at udelade helt afgørende områder. Ganske som ventet kom der ikke nogen reaktion overhovedet. Sagen var jo den, at det var alibikommunikation, som tjente som en slags ansvarsfralæggelse til et højere niveau, hvor ansvaret ikke blev taget.

Hvorfor nu underholde med denne anekdote fra gamle dage? Fordi jeg stadig ser det praktiseret i risikorapporteringen anno 2018. Bestyrelsen som får 75 sider om sårbarhed og trusler mod 300 systemer, eller 50 sider om virksomhedens potentielle it-trusler i en fast rapportering til direktionen. Indholdet er muligvis meget præcist og et skarpt billede af it-sikkerheden, men det giver ikke mening at forurene ledelseslaget med alle de it-faglige detaljer. Er der nogen som drømmer om at ledelsen læser 75 sider med skematisk gennemgang af it-trusler?

Ledelsen er sandsynligvis og forhåbentlig fokuseret på nogle strategiske udviklingsområder, som man måler og optimerer på så vidt muligt. Det handler hverdagen om i direktion og bestyrelse og så alle de detaljer, som man også skal forudse og planlægge og tage beslutninger om. Svaret på, hvordan man gør risikorapporteringen relevant er at rapportere om effekten af it-sikkerhed op mod disse strategiske indsatsområder. Hvad har disse sårbarheder af betydning for salg? Medarbejdertilfredshed? Kundetilfredshed? Lønsomhed i projektforretningen?

Indrømmet. Det er noget mere komplekst og sammensat, og en klassisk it-sikkerhedsspecialist vil være udfordret, for det er ikke længere en eksakt disciplin, og elementet af skøn og forudsætning vokser. Til gengæld er det den helt rette dialog, man kan opnå med ledelsen om ressourcetildeling og indsatser. Det er måden, man gør arbejdet med risikostyring relevant og sikrer at begge parter får noget ud af det.
Hvorfor gør vi det ikke bedre? Ja, jeg kommer til at tænke på forsøget med aberne i et bur med en banan i loftet. De bliver oversprøjtet med vand, hvis de rører ved stigen for at kravle op. Til sidst lærer alle aber at holde sig fra stigen som en kultur i buret. Og den kultur lever videre blandt aberne, selv om man langsomt udskifter alle aber, så man til sidst har et bur fuld af aber, som ikke har erfaret at få vand på sig, men som alligevel holder disciplinen med ikke at røre stigen. https://ing.dk/blog/en-aktuel-historie-om-fem-aber-og-en-banan-71108

Men vi er ikke aber, og risikoen er større end at gå glip af en banan. Det udgør jo en reel risiko, at ledere og risikospecialister ikke taler samme sprog. Derfor skal vi lave det om. Og det det bliver altså risikofolkene, som skal oversætte alle aktiviteter og indsatser til et sprog som ledelsen forstår: Hvad koster det at holde det her niveau af risiko på vores vigtigste strategiske forretningsområder? Og så lære hele tiden, justere hele tiden og holde dialogen for at tilpasse os til ændrede forretningsmæssige prioriteter og til en forandret trusselsbillede.

Af Tomas Hellum, direktør, LinkGRC og rådgiver