Säkerhetsarbetet i dagens organisationer är mer utmanande än någonsin. Hotbilden blir alltmer komplex, och antalet regelverk fortsätter att öka.
Samtidigt behöver verksamheter hitta sätt att binda samman sina affärsmål med IT-strategier för att skapa ett integrerat och framgångsrikt säkerhetsarbete.
Under mina år inom säkerhet och styrning har jag sett samma problem dyka upp gång på gång – oavsett om det handlar om att implementera ISO 27001, anpassa verksamheten till säkerhetsskyddslagen, arbeta med EA-modeller eller följa NIST-standarder.
Verksamheten har ofta svårt att förstå vad som verkligen gäller. IT ses ofta som lösningen på säkerhetsproblem, vilket leder till en obalans. När IT försöker styra säkerhetsarbetet från ett tekniskt perspektiv, saknas ofta kopplingen till affärs- och verksamhetsmålen, regelverkstolkningar och de verksamhetsmässiga behoven. Ledningen antar att allt är på plats – men saknar en tydlig överblick. Och kraven…… de finns, men vanligtvis utan riktning, struktur eller verklig styrning – vilket skapar osäkerhet och fragmentering genom hela verksamhetens alla delar.
Resultatet blir att dokumentationen växer, medan handlingen minskar.
Det är dags att tänka om. Inte kasta bort det som redan finns – utan skapa samband och struktur. Göra det användbart för alla.
Verksamheter behöver en styrmodell som översätter affärsmål, lagar, krav och standarder till praktiska lösningar. En modell som bygger broar mellan affärsverksamheten, arkitektur, juridik, projekt, drift och förvaltning och IT, där IT inte bara är en stödfunktion utan en möjliggörare för verksamhetens mål. En modell som visar hur vi ska arbeta – inte bara vad vi ska uppnå. En modell som fungerar för hela verksamheten, oavsett mognadsnivå och roll.
Det verksamheter behöver ta fram är ett styrande kravramverk som skapar struktur, riktning och tydligt ansvar för just sin specifika verksamhet. Ett ramverk som binder samman LIS, NIST, ISO och EA – istället för att låta dem konkurrera. Ett ramverk som bygger på verksamhetens mognad och verkliga behov. Ett ramverk som integrerar affärsstrategier med IT-säkerhetslösningar för att skapa långsiktigt värde.
Säkerhetsarbetet måste också bygga på en förståelse för den faktiska hotbilden och drivas av ett tydligt ledarskap i hela organisationen – annars riskerar det tappa både kraft och riktning.
ISO, NIST och lagkrav säger vad – men verksamheten behöver ett sätt som visar hur."
"Säkerhet fungerar först när hela verksamheten förstår kraven – och vet vad de ska göra"
Ett sådant ramverk kanske inte löser allt, men det kan ge verksamheten ett praktiskt verktyg att styra med – och göra säkerhetsarbetet effektivt, från affärsmässiga visioner till tekniska implementationer.
