Danmark kan håndtere it-sikkerhed smartere

Lad os dele erfaringer, trusselskataloger og risikovurderinger langt bedre. Vi har måske brug for et dansk non-profit-organ til at samle trådene.

Mærsks åbenhed om milliardomkostninger afledt af cyberkriminalitet er blot ét af mange tegn på en stor og voksende trussel inden for it-sikkerhed. Derfor er en styrket risikostyring på dagsordenen hos store og små virksomheder og hos både offentlige og private. Logisk nok arbejder vi også sammen i sektorer og brancher for at løfte vores forståelse og beredskab. Bankerne arbejder sammen for at dele erfaringer, og i den offentlige sektor går man frem sektor for sektor. Men der er stadig store muligheder for at arbejde langt mere intelligent og stringent med vores ressourcer for at få mest mulig sikkerhed for pengene. Helt overvejende er det stadig op til den enkelte virksomhed at dokumentere sin indsats inden for governance, risk og compliance (GRC), og med et så foranderligt trusselsbillede, som vi ser på it-sikkerhedsområdet, er det en frygtindgydende opgave.

Risiko på tværs af sektorer

Staten har sat gang i at gennemgå de enkelte sektorer, som udgør kritisk infrastruktur for Danmark. Logisk og fornuftigt. Umiddelbart er der stor forskel på fx sundhedssektoren og energisektoren, men i en risiko-kontekst deler de en lang række behov, som giver belæg for at samle og koordinere endnu bedre, end vi gør det idag. Sektor for sektor skal man gennemføre trusselvurderinger og risikoprofiler på leverandører, teknologier og produktionsapparat. Men mange af disse er jo fælles for sektorerne – eksempelvis Apples iPhone, Microsoft365, en server fra IBM, en generator fra ABB og mange flere. Problemer med strømforsyning er trussel for både kraftværket, hospitalet og produktionsvirksomheden. Hvorfor ikke koordinere den opdaterede risikovurdering af de største leverandører på nationalt niveau? Argumentet gælder også for trusselskataloger, for selv om der forskelle i vægt og betydning af forskellige trusler, så er der også en vis fællesmængde, som man med fordel kunne få ”forærende” udefra.

En uendelig opgave

En risikovurdering af en it-platform eller et stykke teknisk infrastruktur kan i hele træskolængder kræve hundredevis af timer af en specialist, og omkostningen løber hurtigt op. Og det skal så ganges med antallet af produkter, hvor man skal gennemføre en sådan vurdering. En stor byrde for den enkelte virksomhed, en dråbe i havet for samfundet. Ikke mindst set i relation til de enorme omkostninger, som er forbundet med at blive ramt af nedbrud og angreb.

Præmissen på it-sikkerheds-området er, at opgaven aldrig bliver løst. At tegne sit risikobillede, udforme politikker og designe et kontrolregime er måske en femtedel af GRC-opgaven. Det afgørende er den løbende opdatering, den jævnlige kontrol og den konsekvente operationelle opfølgning. Er det, vi har aftalt stadig det, som er operationelt? At definere, hvad vi skal have styr på, er nu engang noget nemmere, end rent faktisk at have styr på det. Derfor er GRC først og fremmest en stor operationel opgave, hvis man seriøst vil afdække sig for de største risici. Vi har alle glæde af at få lettet opgaven ved at dele, pulje og genbruge dele af risikovurderingen på generiske elementer.

Farvel til nulfejlstænkning

En samlende enhed må nødvendigvis være non-profit, fordi afhængigheden af dens ydelser bliver ganske stor. Der skal også fintænkes på, hvor grænsen for denne ydelse går, så den ikke tager brødet ud af munden på den base af ekspertkonsulenter, som i dag bidrager til at løfte GRC-området. I den sammenhæng må man bare huske, at opgaven er stor og stadig voksende. Der er rigeligt at tage fat på for et lille land som Danmark.

Af samme grund kan vi roligt vinke farvel til tanken om nul fejl. Virksomhederne – i hvert fald de største – har indset, at man ikke kan opnå 100 pct it-sikkerhed. Her arbejder vi metodisk med løbende risikovurderinger og fleksible kontrolregimer under løbende optimering. Målet er, at risikotænkningen bliver indlejret i kulturen, så vi har risikoelementet med i forretningsmæssige beslutninger på alle niveauer.

Det politiske system med ministeransvar kan føre til, at fejl og risici er ganske forældreløse. Måske er det ligefrem karrierehæmmende at sætte spot på risikoen og arbejde med den. På den baggrund er det nok mere perspektivrigt at lægge en non-profit-organisation midt mellem den offentlige og den private sektor med en finansiering og en målsætning, som ikke giver en minister ansvaret for at skabe Danmarks ”databank” af trusselsvurderinger og risikoanalyser.

Af Tomas Hellum, direktør for LinkGRC og rådgiver inden for governance, risk og compliance

 

Blød sikkerhed – interview med Martin Falck-Hansen og Nicolai Elberling

Martin Falck-Hansen og Nicolai Elberling er gæster hos Michael Sjøberg i Risiko Radio studiet i denne episode.

Martin er chef for intern revision i KMD og Nicolai er selvstændig konsulent. Og sammen har de udviklet en ny tilgang til at øge medarbejdernes risikoadfærd og sikkerhedsforståelse.

Hør mere om, hvorfor det er vigtigt at lytte og forstå medarbejdernes hverdag og motivation – og ikke bare docere og skælde ud. Og find ud af, hvordan en modenhedstrappe endte som et timeglas i stedet.

LINKS:

Martin Falck-Hansen på LinkedIn: https://www.linkedin.com/in/mfalck/
Nicolai Elberling på LinkedIn: https://www.linkedin.com/in/nicolaielberling/

Timeglasmodellen for modenhed: https://elberling.uk/security-culture-maturity-model/

BØGER:
Nancy Durate: Resonate
https://www.amazon.com/Resonate-Present-Stories-Transform-Audiences/dp/0470632011

Switch: How to change things when change is hard
by Chip & Dan Heath
https://amzn.to/2TWdhup

Made to Stick: Why some ideas take hold and others come unstuck
by Chip & Dan Heath
https://amzn.to/2NeuP2d

Skin in the Game: Hidden Asymmetries in Daily Life
by Nicholas Nassim Taleb
https://amzn.to/2IzRun7

Effektiv spørgeteknik

Hvordan kan jeg strukturere et interview, en kontrolsamtale eller en afhøring, så jeg sikrer mig, at jeg kommer nærmere sandheden?

I denne uges episode af Risiko Radio vender Henrik Christiansen og Michael Sjøberg fra Human Advisor Group deres bedste fem afhøringstips – og nej, det har (overhovedet) ikke noget med waterboarding at gøre.

Lyt med og hør hvordan (og ikke mindst hvorfor) du kan og bør forberede og strukturere din samtale, hvilken rolle kropssprog spiller, hvorfor du ofte skal sætte tempoet ned, når du har lyst til at give den gas og ikke mindst hvordan du kan bruge et stykke papir og en blyant på en meget effektiv måde.

Husk at Michael taler ved Lund Elmer Sandagers gå-hjem møde om whistleblower-ordninger den 7. februar 2019 fra 16.30 til 18.30. Læs mere og tilmeld dig her

Tusind tak fordi lytter med på Risiko Radio!