ITWatch

Klumme: Ret fokus indad i virksomheden for at sikre en højere cybersikkerhed

Øget it-sikkerhed handler ikke bare om at købe nogle nye produkter eller tilføje flere processer, understreger Gorm Christiansen fra Globeteam i denne klumme. Der skal være fokus på hele virksomhedens risikostyring, lyder det.

Foto: Globeteam/PR

Risikostyring. I teorien skal en virksomhed "bare" lige gennemføre en række tiltag for at øge sikkerheden, og så kan man gå videre til næste punkt på dagsordenen. Alle der har besluttet at øge en virksomheds sikkerhedsniveau vil vide, at så let er det langt fra altid.

Jeg vil her slå til lyd for, at øget sikkerhed ikke bare handler om at købe nogle nye produkter eller tilføje flere processer. Hvis sikkerheden skal forbedres, så skal medarbejdere og ledere i en virksomhed kigge indad og finde ud af, hvorfor virksomhedens risikostyring ikke fungerer som ønsket. Ved hjælp af samtaler og samarbejde bliver skal de stille en diagnose for at afdække manglerne i sikkerheden. Det skal ske med en åben dialog, der hudløst ærligt retter blikket mod den måde virksomheden fungerer på.

Kort sagt kan man sige at en virksomhed skal have mindre silotænkning og mere samarbejde for at sikre en bedre risikostyring.

I tre foregående artikler har jeg forsøgt at beskrive, hvordan man kan arbejde teoretisk og praktisk med integreret risikostyring. De er opskriften på, hvordan man – i min og Globeteams verden – skal tænke, planlægge og udføre integreret risikostyring anno 2021.

På overordnet plan handler det om at binde risikoejerskabet tættere sammen med risikoforvaltningen, om at forene centrale digitaliseringskrav med decentrale digitaliseringsbehov og om at koordinere forskellige forretningsenheders indsatser mod fysiske og cyberrelaterede trusler.

Med meget få undtagelser ser virksomheders risikostyring i virkelighedens verden sjældent ud, som jeg har beskrevet. Det siger jeg helt uden at pege fingre. For det er svært og komplekst at drive et effektivt risikostyringsprogram, hvor alle tre faktorer i artiklerne er tænkt ind, og hvor samarbejdet fungerer smidigt.

Der bliver udarbejdet utroligt mange strategier, handleplaner og analyser rundt omkring. Og det er vigtigt. Vi skal vide, hvor vi vil hen. Men mange oplever, at det er svært at gennemføre deres planer. Hvorfor?

Brug en humanistisk tilgang

I jagten på det svar vil jeg gerne slå på tromme for en tilgang, som måske ikke er den første, der falder sikkerhedsbranchen ind, men som har vist sig meget frugtbar i mit arbejde. Det er at tage en humanistisk tilgang til opgaven.

En tilgang, som er kendetegnet ved sit undersøgende, diagnosticerende og åbne blik på verden. I kontrast til den nøgterne og teknisk orienterede tilgang til sikkerhed, hvor man identificerer et problem og forsøger at løse det ved hjælp af et produkt eller en proces, kan man bruge det humanistiske blik til at stille skarpt på de områder, der blokerer for forandring, lade blikket blive hængende, så længe det er nødvendigt, og vente på, at spotlyset blotlægger de mest åbenlyse forklaringsnøgler.

Nye processer kan være frustrerende

At implementere flere produkter eller flere processer i en organisation, der i forvejen er i ubalance, løser sjældent de dybereliggende udfordringer i et risikostyringsprogram. For de lag kommer man aldrig ned i ved hjælp af produkter og processer. Tværtimod kender de fleste sikkert følelsen af øget frustration, når de bliver ved med at bruge tid og penge på projekter, som paradoksalt nok kun tilføjer kompleksitet og forvirring, hvor de burde give overblik og klarhed.

Årsagerne til de organisatoriske ubalancer kan være mange. Typisk udspringer de af forskelligheder og uoverensstemmelser mellem det persongalleri, der skal drive risikostyringen. Det kan være på det professionelle plan, og det kan være på det personlige plan. Det kan være i form af interessekonflikter, fag- og begrebsbarrierer, magtforskydninger, budgetter osv. Den specifikke årsag til udfordringerne er forskellig fra virksomhed til virksomhed, men effekten er den samme: organisatorisk eksekveringstræghed, som gør arbejdet med risikostyring ressourcetung, ineffektiv og ufokuseret.

Sådan noget er aldrig rart at se i øjnene. Det er sårbart stof, og det kan være svært og opslidende at håndtere. Men det er netop i denne svære og opslidende proces, den humanistiske tilgang har sine forcer.

Forandring kommer indefra

I stedet for at sidde fast i nedarvede strukturer, der bremser al fremdrift, kan man ved hjælp af dialogspørgsmål bore i baggrunden for eksekveringstrægheden, bygge bro mellem de forskellige fagligheder, der er involveret i risikostyringen, og på den måde skabe nye fælles forståelser og forklaringsmodeller, der understøtter den videre udvikling.

Hvad fortæller det eksempelvis om en organisation, at kæden er hoppet af det ene eller andet sted i samarbejdet mellem den taktiske og operationelle risikostyring? Hvad fortæller det om lederskabet i de respektive afdelinger? Hvad fortæller det om medarbejderne? Hvordan kan man – med input og involvering fra de involverede parter – løse udfordringerne, komme videre og begynde at skabe resultater sammen?

De spørgsmål kan den humanistiske tilgang bedre end nogle tekniske produkter og populære management-processer hjælpe med at finde svar på.

Det er ikke os udefra, der kan diktere de nødvendige forandringer, der fører til øget organisatorisk modning. Det kan give god mening at få ekstern hjælp til at facilitere arbejdet med risikostyring; men åbenbaringen, den skal komme indefra. Fra Peter, Poul, Maria, Marianne, og hvad I ellers hedder. Er der noget, jeg gerne vil have, der står tilbage, når du har læst disse fire artikler, er det netop det: Vejen til bæredygtig og balanceret risikostyring går gennem mennesker.

Klumme: Et nyt fælles sprog skal aftabuisere cybersikkerhed

Klumme: Løsning på de manglende it-ressourcer ligger mod øst 

Mere fra ITWatch

Nye kræfter polstrer investeringsplatform til udlandseventyr

Nyt ejerskab hos digital investeringsplatform vil fordoble volumen og føre konceptet ud over Danmarks grænser. Tidligere Børsen-direktør skal booste kommerciel strategi og være med til at vise, "at The Many ikke bare er en god idé, men også kan blive en forretningsmæssig succes," som han siger til EjendomsWatch.

Læs også

Relaterede

Seneste nyt

Se flere jobs