Alt for ofte bliver it-sikkerhed betragtet som et nødvendigt onde: dyrt, forstyrrende og dårligt kommunikeret. Men det er en misforståelse, siger Tobias Borg Petersen:
”Vi ser gang på gang, at it-sikkerhedsfolk har både kompetencer og engagement. De bliver fanget i en rolle, hvor de bliver opfattet som bremseklodser, fordi de sætter dagsordenen i stedet for at understøtte den. Alt for mange sikkerhedsinitiativer fejler, fordi udgangspunktet ikke er, hvad der driver kerneforretningen.”
Institut for Cyber Risk har siden 2019 hjulpet danske og internationale virksomheder med at styrke deres modenhed på cyberområdet. Et af de sprængende punkter de ofte møder er, at ikke alle it-sikkerhedsafdelinger formår at formidle den værdi, de skaber. Det kræver til gengæld et skifte fra systemfokus til procesforståelse.
Systemer beskytter ikke nødvendigvis kerneforretningen
Institut for Cyber Risk arbejder med en forretningsdrevet og risikobaseret tilgang. De oplever, at virksomheder nemt kan pege på deres kritiske systemer, men sjældent på deres forretningskritiske processer.
”Organisationer kommer til at tage valg på et forkert grundlag, hvis ikke it-sikkerhedsafdelingen formår at forstå, hvad der rent faktisk driver forretningen. Det ender i dyre fejlinvesteringer og manglende beredskab, og pilen vil pege tilbage på syndebukkene,” siger Tobias Borg Petersen.
Det bedste sikkerhedsarbejde opstår i samspillet mellem interne indsigter og eksterne perspektiver. Det handler om at kortlægge, hvad der er virkelig vigtigt og sikre, at det kan opretholdes, også når det går galt. Derfor skal it-sikkerhedsafdelingen også tør stille de svære spørgsmål om forretningen og udfordre den vanetænkning, der kan være eksternt såvel som internt.
Tillid starter med indsigt
En ændret selvopfattelse er altså nødvendig i it-sikkerhedsafdelingerne, hvis målet er, at forretningsværdien ved sikkerhedstiltag skal indgå som en naturlig del af beslutningsgrundlaget.
”Hvis det tager fem dage at svare på, hvilke forretningskritiske processer der er, så har de it-sikkerhedsansvarlige ikke gjort deres arbejde godt nok. Det bør tage 30 sekunder,” siger Tobias og tilføjer:
”Det kan give et indblik i, hvor godt de kender kerneforretningen. Derfor mener jeg også, at it-sikkerhedsafdelinger skal vurderes på, hvor høj en resiliens de skaber og ikke, hvor mange kæppe de sætter i hjulet.”
Budskabet fra Tobias Borg Petersen klart: It-sikkerhedsafdelingen skal ikke løbe panden mod muren med sin egen agenda. De skal tage den rolle, der er tiltænkt dem. Som en funktion, der gør forretningen mere robust og modstandsdygtig. Men det starter med en erkendelse af, at it-sikkerhed ikke er et mål i sig selv, men et middel til at sikre resiliens, kontinuitet og troværdighed.
Læs artiklen hos Børsen her