Publicerades 2013-12-04 i Computer Sweden.
Krönika Ett ledningssystem måste kommuniceras och förankras i hela organisationen, inte bara till ledningen. Det skriver Åsa Schwarz i sin krönika.
Jag har sett ett stort antal ansatser att införa ett ledningssystem för informationssäkerhet. Få har kommit i hamn. De flest har strandat. Kapsejsat. De har slutat i dammiga pärmar, uppgivna it-säkerhetschefer och havererade projekt utan budget.Men de få som lyckas? Hur gör de? Jag bjöd in mig själv på ett möte med KPA Pension som certifierat sig enligt ISO 27001. Den korta versionen är att de la störst krut på det som inte står i standarden.
– Ingen ledningsgrupp vill lyssna på en presentation med trettio Power Point-sidor om ledningssystem för informationssäkerhet, berättar Rolf Wennberg. Vi sa istället att vi vill presentera ett business case som är bra för företaget.
Rolf Wennberg och hans kollega Anders Gustavfsson hade under två månader arbetat fram ett business case som innehöll både sådant som gick att kvantifiera som t ex minskade incidentkostnader och det som inte gick att kvantifiera som t ex stärkt varumärke.
– Vi genomförde också en scenarioövning med ledningsgruppen. Den var utformad så att alla medverkade skulle få ont i magen, berättar Rolf.
När projektet väl startat, tog det inte lång tid att ta fram specifika krav på informationssäkerhet. Det stora arbetet var att bygga fungerade processer som verkligen används. Ledningssystemet förvaltas genom en modell baserad på PM3 för att säkerställa styrbarhet och ständig förbättring. Sedan integrerades även informationssäkerhet i befintliga processer som till exempel riskhantering, projektstyrning och systemutveckling.
– Genom hela projektet släppte vi aldrig fokus på affärsnytta, berättar Anders. Arbetet som krävdes för att nå dit var i förväg förankrat i linjen.
En sanning som svider för många är att du får den uppmärksamheten du förtjänar. Säkerhetsorganisationen behöver vara offensiv. Ett ledningssystem måste kommuniceras och förankras i hela organisationen, inte bara till ledningen. Annars blir det bara ytterligare ett havererat projekt.
/Åsa Schwarz är säkerhetskonsult på Knowit.