IT-sikkerhedsansvarlig uden et ISMS

Hvad vil der ske hvis du tog økonomistyringssystemet fra den økonomiansvarlige?

Reaktionen fra den økonomiansvarlige vil med meget stor sandsynlighed være:
”Så er der ikke overblik over virksomhedens økonomiske situation og derfor heller ikke længere optimal grundlag for at træffe de rigtige økonomiske beslutninger”.
Der er ingen, der kan forstille sig en økonomiansvarlig uden et velimplementeret styringsværktøj som sikrer overblik og en eller anden mulighed for løbende opfølgning. Det samme gør sig gældende for en HR-ansvarlig i HR-afdelingen hvor der findes et personalesystem til at strukturere informationer og danne sig et overblik. Og hvem ønsker ikke at have overblik over ressourcer, ansatte og informationer om disse.
Prøv at forestille dig en IT-sikkerhedsansvarlig uden et ledelsesværktøj til at danne overblik og struktur over sikkerhedsniveau og risikobillede for virksomhedens vigtigste forretningsprocesser? Det er mere sandsynligt ikke?>

Flere virksomheder end før har større fokus på informationssikkerhed! Hvorfor er det så, at den der er IT-sikkerhedsansvarlig, ikke har et strategisk velimplementeret ISMS værktøj som den økonomiansvarlige? Et ISMS til, at strukturere informationer, understøtte i arbejdet med analyser, politikker, beredskabsplaner, opfølgninger og lign.

Der er ingen tvivl om, at alle tre områder – HR, Økonomi og IT – er vigtige for virksomhedens drift og muligheden for, at kunne arbejde imod de mål, der er fastlagt og dermed skabe værdi for virksomheden. Den største forskel er, at den der er IT-sikkerhedsansvarlig alt for ofte ikke har et værktøj, der hjælper med, at skabe rammerne for en sikker anvendelse og understøttelse af de vigtigste forretningsprocesser. Der mangler i alt sin enkelthed, en muligheden for at skabe et struktureret fundament. Med et struktureret fundament er ingen i virksomheden i tvivl om ”spillereglerne” for anvendelsen af systemerne. Ledelsen gøres bekendt med risikobilledet, i beredskabssituationer er der planer for, hvordan de involverede skal agere når uheldet er ude og ikke mindst skabes der en løbende opfølgning og dokumentation på alle disse områder.

Ny informationssikkerhed i gamle “kontokort”

I rigtig mange virksomheder er IT-sikkerhed stadig baseret på gammeldags ”kontokort” i Excel-regneark og Word-skabeloner, uden relationer og effektiv anvendelse til andre informationer. Der findes gode muligheder for at anvende et ISMS styringssystem til disse opgaver, så den IT-sikkerhedsansvarlige kan bliver ligeså effektiv i sine arbejdsmetoder som både økonomiansvarlig og den personaleansvarlige.
Efterhånden er de fleste virksomheders IT-anvendelse blevet mere og mere omfattende og kompleks, hvilket betyder, at visheden for forretningen, om blandt andet driftsikkerhed, fortrolighed og integritet, har større og større betydning. Dette medfører, at den IT-sikkerhedsansvarlig uden et struktureret og velimplementeret ISMS, står i den situationen som den økonomiansvarlige ville stå i, hvis du tog økonomisystemet fra vedkommende. ”Det er ikke muligt, at skabe overblik over virksomhedens IT-sikkerhedssituation og derfor ikke muligt at rådgive om de rigtige prioriteringer og beslutninger ”.

For at den økonomiansvarlige kan arbejde sikkert virksomhedens vigtigste forretningsprocesser denne er ansvarlig for, er forudsætningen, at der er taget stilling til risici af de understøttende aktiver og services – en opgave den der er IT-sikkerhedsansvarlig bør koordinerer.
Denne opgave er med til at give et struktureret overblik over det samlede risikobillede, for alle virksomhedens services og aktiver – dette er en omfangsrig opgave med mange relationer på kryds og tværs, i en kompleks infrastruktur. Risikobillede er direkte inputgivende til udarbejdelse af en beredskabsplan, som er must for virksomhedens fortsatte virke, ved et nedbrud af de understøttende services og aktiver.

Informationssikkerhed betragtes ikke, som et område der skaber direkte værdi for virksomheden – det kan måske have sin rigtighed, isoleret set. Men informationssikkerhed er med til at skabe fundamentet for en stabil virksomhed med mulighederne for nye tiltag, så indirekte gør det virksomheden i stand til, at bevæge sig i den retning, der sikre en opfyldelse af målene og derved den samlede værdi for virksomheden.