Knowit Secures Blogg

Spetskonsulten med det stora hjärtat

Du får den uppmärksamhet du förtjänar

säkerhet24Publicerades 2013-12-04 i Computer Sweden.

Krönika Ett ledningssystem måste kommuniceras och förankras i hela organisationen, inte bara till ledningen. Det skriver Åsa Schwarz i sin krönika.

Jag har sett ett stort antal ansatser att införa ett ledningssystem för informationssäkerhet. Få har kommit i hamn. De flest har strandat. Kapsejsat. De har slutat i dammiga pärmar, uppgivna it-säkerhetschefer och havererade projekt utan budget.Men de få som lyckas? Hur gör de? Jag bjöd in mig själv på ett möte med KPA Pension som certifierat sig enligt ISO 27001.  Den korta versionen är att de la störst krut på det som inte står i standarden.

– Ingen ledningsgrupp vill lyssna på en presentation med trettio Power Point-sidor om ledningssystem för informationssäkerhet, berättar Rolf Wennberg. Vi sa istället att vi vill presentera ett business case som är bra för företaget.

Rolf Wennberg och hans kollega Anders Gustavfsson hade under två månader arbetat fram ett business case som innehöll både sådant som gick att kvantifiera som t ex minskade incidentkostnader och det som inte gick att kvantifiera som t ex stärkt varumärke.

– Vi genomförde också en scenarioövning med ledningsgruppen. Den var utformad så att alla medverkade skulle få ont i magen, berättar Rolf.

När projektet väl startat, tog det inte lång tid att ta fram specifika krav på informationssäkerhet. Det stora arbetet var att bygga fungerade processer som verkligen används. Ledningssystemet förvaltas genom en modell baserad på PM3 för att säkerställa styrbarhet och ständig förbättring. Sedan integrerades även informationssäkerhet i befintliga processer som till exempel riskhantering, projektstyrning och systemutveckling.

– Genom hela projektet släppte vi aldrig fokus på affärsnytta, berättar Anders. Arbetet som krävdes för att nå dit var i förväg förankrat i linjen.

En sanning som svider för många är att du får den uppmärksamheten du förtjänar. Säkerhetsorganisationen behöver vara offensiv. Ett ledningssystem måste kommuniceras och förankras i hela organisationen, inte bara till ledningen. Annars blir det bara ytterligare ett havererat projekt.

/Åsa Schwarz är säkerhetskonsult på Knowit.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Information

This entry was posted on december 4, 2013 by in It- och informationssäkerhet, Knowit Secure i media, Säkerhetsstyrning.

Blogginlägg

Följ oss på Twitter

Skriv din mailadress här så får du alla nya blogginlägg postade till dig.

%d bloggare gillar detta: