IT-Governance – ISO38500

IT-Governance eller informationssikkerhed, hvad klinger bedst hos ledelsen

Igennem den seneste par år har Governance været noget der til stadighed har optaget bestyrelser og direktioner, rundt omkring i både offentlige og private virksomheder.
Der er ingen tvivl om, at det er svært at finde en virksomhedsledelse, der ikke har en eller anden form for Governance på deres handlingsplan.

Set i lyset af, at Governance allerede er sat på handlingsplanen, er jeg overbevidst om, at det giver langt større mulighed for, at få ledelsen involveret i arbejdet med informationssikkerhed. Det skal kædes direkte sammen med IT-Governance ud fra ISO38500, som jeg var inde på i del I af artiklen om IT-Governance, så er der en lang række punkter der er sammenfaldende mellem ISO27001 og ISO38500.

6. punkter To Do fra ISO38500 – How To?

Når jeg samlet set kigger på de seks punkter fra ISO38500, kan jeg trække en direkte parallel til de arbejdsopgaver/ ledelsesopgaver der er i informationssikkerhed ISO27001.

Her tænker jeg specielt på, at udarbejde en sikkerhedshåndbog med politik, regler og procedure, udarbejde en risikovurdering baseret på forretningsprocesser, fastlæggelse af de referencerammer virksomheden skal/ønsker, at være i overensstemmelse med (compliance), og ikke mindst have en procedure der håndterer erhvervelse af nye systemer således, at implementeringen sker på den mest optimale vis.

Alt dette sker ved af Ledelsen tager ”førertrøjen” og igennem en kontinuerlig dialog med de IT-ansvarlige, så der sker en løbende vurdering – tilpasning af tiltag – og opfølgning…..

SÅDAN opnår vi, at implementere IT-Governance i virksomheden – om du benytter ISO27001 eller ISO38500 som referenceramme.

Med ISO38500 i ryggen

Strategi er ledelsens input til udvikling af IT-anvendelsen og vise versa. Det, at der fra ledelsen bliver taget en løbende dialog med de IT-ansvarlige om, hvor forretningen er på vej hen og i hvilken form det kræver IT-understøttelse. Det er også i ligeså høj grad de IT-ansvarliges pligt, at informere ledelsen om den udvikling der sker inden for IT-området og involvere ledelsen i, hvordan de ny vundne teknologiske fremskridt kan understøtte de forretningsmæssige strategiske mål. Denne form for dialog kræver, at de IT-ansvarlige har kendskab til virksomhedens strategiske mål og at ledelsen kommunikerer målene til de IT-ansvarlige.

Ansvar skal uddelegeres fra direktionen til ledelsen i organisationen, med opfordring om løbende at komme med evalueringer og forbedringsforslag til udnyttelse af IT-systemerne til optimal IT-understøttelse mod forretningsprocesserne. På denne måde sikres den største værdi for virksomheden, med den investering der er gjort i IT-systemerne.
Denne løbende evaluering skal ske i tæt dialog med de IT-ansvarlige, således at der samlet set opnås en gruppe af personer, med indsigt i forretningen og indsigt i IT-området – således at IT-anvendelsen bliver optimal.

Erhvervelse af nye IT-aktiver/systemer skal fortages i tæt dialog med ledelsens, således sikres det, at IT-systemerne understøtter de nuværende og fremtidige strategiske forretningsmæssige målsætninger. En opgave der stiller krav til såvel ledelsen, som IT-ansvarlige om, at de løbende er bekendt med virksomhedens målsætning og opretholder en løbende dialog om det gensidige samspil.

Ydelsen fra IT-systemerne og de personer der driver systemer, skal til stadighed have fokus fra ledelsens side. Dette medfører, at der skal fortages en vurdering af værdien, af de enkelte systemer og den forretningsmæssige risiko, der er forbundet ved IT-anvendelsen.
Dette betyder endvidere, at der fra ledelsen skal fortages en vurdering af, hvad eksempelvis et udfald af et eller flere IT-systemer eller de personer der driver systemerne, betyder for virksomheden og virksomhedens mulighed for at opfylde de forretningsmæssige målsætninger.

Efterlevelse af love, regulatoriske krav, normer, egne interne politikker og regler, skal løbende have opmærksomhed fra ledelsen side. Såfremt ledelsen ikke er bekendt med disse, ikke løbende holder sig ajour med tilføjelser og ændringer inden for deres ansvarsområder, ikke sikre sig, at disse krav bliver formidlet til de IT-ansvarlige, vil det medføre at IT-anvendelsen ikke opfylder de krav det stilles til virksomheden.
Virksomheden kan dermed risikere lovovertrædelser og andre former for ageren der skaber dårlig omdømme og image for virksomheden. De eneste der kan sikre, at dette ikke sker – er ledelsen, de skal holde sig ajour og indgå i dialog med de IT-ansvarlige, for at sikre, at IT-systemerne i størst mulig omfang er med til at opfylde kravene.

Menneskelig adfærd er i sidste ende det, der skal bære virksomheden frem mod de strategiske målsætninger. Det er ledelsens ansvar, at der sker en løbende evaluering og tilpasning af de menneskelige ressourcer, der er til stede i virksomheden, samt en vurdering af det potentiale de besidder og den risiko de udgør i forhold til anvendelsen af IT i virksomheden.
For at sikre den størst mulige ”kvalitet i den menneskelige adfærd” er det ledelsens ansvar, at sikre en række politikker, regler og procedurer således at der sker en ensartethed i anvendelsen af IT-systemerne og dermed en minimering af risici og samtidig en højnelse af kvaliteten. Ledelsen skal gå forrest for, at skabe den nødvendige Awareness i virksomheden.

Fik du ikke læst del I af artiklen – kan du finde den her