Hur skapar du ledningens intresse för informationssäkerhetsarbetet?

Hur skapar du ledningens intresse för informationssäkerhetsarbetet?

 

Tre tips för en lyckosam förankring

 

Publicerat 2019-10-23

För att uppnå ett kontinuerligt informationssäkerhetsarbete är ledningens intresse grundläggande. Hur mycket du än driver och förankrar frågan i verksamheten så kommer alltid resurser dras in, frågan prioriteras ned och ditt arbete stanna av om förankring inte har skett hos ledningen. Att lyckas med detta är dock lättare sagt än gjort. Den lilla femminutaren för att diskutera informationssäkerhet du bad om på ledningsgruppsmötet blir hela tiden nedprioriterad och struken från agendan. Och när du väl får ledningens intresse blir svaret att det kostar för mycketDet är en tung börda att bära ibland, att driva informationssäkerhetsarbetet i en organisation.  

Så hur ska du gå tillväga för att fånga ledningens intresse? Vi listar våra tre bästa tips!   

Lär av historien 

I och med nya regelverk måste nu incidenter anmälas till Datainspektionen. Det innebär att skandaler som tidigare tystats ner numera synliggörs i media. I din argumentation är därför ett tips att använda exempel från organisationer som liknar er och hur de påverkades av en incident. Att använda timing-effekten och välja ett tillfälle då någon annan trampat i klaveret kommer garanterat leda till att ledningen är mer benägen att lyssna på det du har att säga. Att avvakta med att ta tag i frågan tills det finns en bra tidningsrubrik är dock inte att rekommendera.  

Bygg dina argument med data 

Data gör det svart på vitt – och svårt att blunda för. Om ni har arbetat ett tag med frågan finns det användbart material internt i organisationen. Om ni har genomfört en IT-revision innehåller rapporten garanterat ett antal brister. Även tidigare genomförda riskanalyser och riskvärdens statiska karaktär kan utgöra argument för att något behöver förändras.  

Konsekvenser av att ignorera frågan 

Vad händer om er organisation ignorerar frågan? Exempel på argument att nyttja är sanktionsavgifter vid incidenter och försämrat varumärke. De argument du plockar fram bör vara direkt kopplade till det som är värdeskapande i er verksamhet. Jobbar du för en kommun så fokusera på riskerna kopplat till invånarnas säkerhet – exempelvis risken för personuppgiftsläckage för invånare med skyddad identitet. Är du verksam i en privat organisation – fokusera på argument som är kopplade till ert värdeerbjudande. Allt fler kunder ställer högre krav på leverantörers informationssäkerhet. Många organisationer använder även sitt informationssäkerhetsarbete i sin marknadsföring. Du har förmodligen sett en och annan leverantör som använder en ISO27000-certifiering för att stärka sitt varumärke.  

Argumenten för att ta informationssäkerhetsfrågan på allvar är många. Det du behöver är en genomtänkt presentation, gärna en timingeffekt och förhoppningsvis en förstående ledningsgrupp.

Lycka till!