Energinets it-sikkerhed i langsigtet turnaround

Ledelsesmæssig opbakning og et strategisk initiativ løfter it-sikkerheden hos Energinet.dk. Virksomheden bag forsyningsnettet til Danmarks elektricitet og naturgas er kommet langt, men indsatsen fortsætter. LinkGRC hjalp med sikkerhedsprocedurerne.

”Vi er lykkedes med at hæve vores it-sikkerhed væsentligt. Vi er ikke i mål, men vi flytter os væsentligt fremad mod et ambitiøst mål. Det har krævet en del tilløb og givet læring og erfaring”, siger Vice President og CIO Morten Gade Christensen fra Energinet.dk. Han har stået i spidsen for en langsigtet forandring af kultur, teknologi og procedurer på it-sikkerhedsområdet i virksomheden. Energinet.dk måler sine fremskridt med den anerkendte metode CMMI til at måle organisatorisk modenhed og tager nu nogle store skridt op af modenhedsskalaen. Fra et udgangspunkt på 2,0 har Energinet.dk nu nået 3,14 og næste mål er 3,5.

Nøglen er, at informations-sikkerhed er ét af seks strategiske indsatsområder i koncernstrategien hos Energinet.dk. Virksomheden har den vigtige opgave at sikre, at danskerne har strøm i stikkontakterne og gas i hanerne. Et voksende digitalt indhold i selve forsyningsnettet og et ændret trusselsbillede betyder, at it-sikkerhed er forretningskritisk, når man skal sikre energiforsyningen både på kort og langt sigt. Indsatsen omfatter ny teknologi, nye procedurer og en kulturel indsats for at løfte alle 900 medarbejderes bevidsthed om it-sikkerhed.

LinkGRC overbeviste os ved første møde. Vi var slet ikke i tvivl om, at det her var deres spidskompetence. Senere kunne jeg se, at konsulenterne kombinerer hands-on-forståelse for en it-installation og hele revisor-fagligheden. Det betyder, at de går med os ind i maskinrummet og får det til at fungere i begge verdener”, siger Nicolaj Peulicke, som afdelingsleder med ansvar for IT Digitalisering hos Energinet.dk.

 

Ledelsesforankring er alfa og omega

”Vi har lagt et helt andet fokus. I stedet for at være drevet af frygt ser vi nu it-sikkerhed som en aktiv og offensiv strategisk prioritet. Den forankring i ledelsen og kulturen er alfa og omega”, siger Nicolaj Peulicke fra Energinet.dk. Han er afdelingsleder i it-funktionen med ansvar for arbejdet med it-sikkerhed. ”Den forandring giver motivation og glæde ved vores fremskridt, og vi undgår en lang ørkesløs kamp med fokus på at rette fejl. Vi har brudt en ond cirkel. Tidligere spurtede vi afsted i et kapløb, hvor vi altid var et skridt bagud”.

En vigtig del af arbejdet hos Energinet.dk er formaliseringen af interne processer og procedurer på sikkerhedsområdet. Gennem samarbejdet med LinkGRC har Energinet.dk opnået en meget hurtig fremgang på dette område.En vigtig del af arbejdet hos Energinet.dk er formaliseringen af interne processer og procedurer på sikkerhedsområdet. Gennem samarbejdet med LinkGRC har Energinet.dk opnået en meget hurtig fremgang på dette område.

CIO Morten Gade Christensen fra Energinet.dk var i landsdækkende tv med en kritisk historie om utilfredsstillende it-sikkerhed. Siden er den kvartalsmæssige CMMI-måling af sikkerhedsmæssig modenhed gået fra 2.0 til tilfredsstillende 3,14, fordi Energinet.dk har givet problemet fuldt fokus.

Konsulenthjælp gav hurtige resultater

”Konsulenterne var en kæmpe hjælp for os. Vi kunne sikkert godt have gjort det selv, men vi ville ikke have været færdige endnu. På omkring seks måneder fik vi brudt en samlet sikkerhedspolitik ned i procedurer og processer med en klarhed og en detaljeringsgrad, så vi kan arbejde videre med dem. Styrken er, at konsulenterne fra LinkGRC har prøvet det så mange gange før, og at de kommer med en stor viden, masser af erfaring og en bank af best practice standarddokumenter”, siger Nicolaj Peulicke.

Hos Energinet.dk arbejdede it-folkene og konsulenterne sammen i en række workshops, hvor procedurerne blev tilpasset og forankret i organisationen. Nu har Energinet.dk klare svar på spørgsmålene til den enkelte procedure som kan være forskellige typer af drifts procedurer med en klarhed på Hvem? Hvornår? Hvordan? Hvorfor? På næste trin i modenhedsmodellen vil Energinet.dk arbejde videre med kontrollerne og den videre interne implementering i organisationen og integration i de forskellige processer.

Positiv revisor

”Vi er ikke i mål endnu, men vi er oppe på et helt andet niveau. Vi har taget et syvmileskridt, men vi har samtidig klare pejlemærker for, hvordan vi kommer videre”, siger Nicolaj Peulicke, der selv har en uddannelse som Cand IT og en MBA i forandringsledelse med i den uddannelsesmæssige bagage.

Energinet.dk tager hele denne systematiske og organisatorisk velfunderede forandring for sin egen skyld. Den højere modenhed har så den positive afledte effekt, at Energinets revisorer fra PwC anerkender, at der er styr på sagerne i positive revisionsrapporter.

”LinkGRC overbeviste os ved første møde. Vi var slet ikke i tvivl om, at det her var deres spidskompetence. Senere kunne jeg se, at konsulenterne kombinerer hands-on-forståelse for en it-installation og hele revisorfagligheden. Det betyder, at de går med os ind i maskinrummet og får det til at fungere i begge verdener. Vores arbejde med proces og procedurer fungerer set ud fra best-practice og de virker også som et integreret element i vores hverdag. Det er helt afgørende”, siger Nicolaj Peulicke.

Lidelses- og læringshistorie

Nicolaj Peulicke har et glimt i øjet, når han kalder denne turnaround inden for it-sikkerhed for en lidelseshistorie og en læringshistorie. Den vigtigste læring er, at positive langsigtede forandringer skal have ledelsens opbakning. Og dernæst kommer hele motivationssiden.

”Der er nu engang meget mere positiv motivation, hvis man sammen sætter sig et mål om at blive bedre. Man kommer jo heller ikke til at gennemføre en maraton, bare fordi man ved, at det er sundhedsskadeligt ikke at dyrke motion. Det er meget sjovere og har meget mere effekt, hvis man konkurrerer med en kollega om at være hurtigst på en DHL-stafet. Den motivation har vi fundet til at forbedre it-sikkerheden, og nu er jeg optimistisk. Jeg tror, at vi når meget langt, fordi vi måler vores fremskridt, vi afsætter ressourcerne og vi har en fælles ambition”.