Hur skapar du ledningens intresse för informationssäkerhetsarbete?

För att uppnå ett kontinuerligt informationssäkerhetsarbete är ledningens intresse grundläggande. Hur mycket du än driver och förankrar frågan i verksamheten så kommer alltid resurser dras in, frågan prioriteras ned och ditt arbete stanna av om förankring inte har skett hos ledningen. Att lyckas med detta är dock lättare sagt än gjort. Den lilla femminutaren för att diskutera informationssäkerhet du bad om på ledningsgruppsmötet blir hela tiden nedprioriterad och struken från agendan. Och när du väl får ledningens intresse blir svaret att det kostar för mycket. Det är en tung börda att bära ibland, att driva informationssäkerhetsarbetet i en organisation.  

Så hur ska du gå tillväga för att fånga ledningens intresse för informationssäkerhetsarbete? Vi listar våra tre bästa tips!   

Lär av historien

I och med nya regelverk måste nu incidenter anmälas till Datainspektionen. Det innebär att skandaler som tidigare tystats ner numera synliggörs i media. I din argumentation är därför ett tips att använda exempel från organisationer som liknar er och hur de påverkades av en incident. Att använda timing-effekten och välja ett tillfälle då någon annan trampat i klaveret kommer garanterat leda till att ledningen är mer benägen att lyssna på det du har att säga. Att avvakta med att ta tag i frågan tills det finns en bra tidningsrubrik är dock inte att rekommendera.  

Bygg dina argument med data 

Data gör det svart på vitt – och svårt att blunda för. Om ni har arbetat ett tag med frågan finns det användbart material internt i organisationen. Om ni har genomfört en IT-revision innehåller rapporten garanterat ett antal brister. Även tidigare genomförda riskanalyser och riskvärdens statiska karaktär kan utgöra argument för att något behöver förändras.  

Konsekvenser av att ignorera frågan 

Vad händer om er organisation ignorerar frågan? Exempel på argument att nyttja är sanktionsavgifter vid incidenter och försämrat varumärke. De argument du plockar fram bör vara direkt kopplade till det som är värdeskapande i er verksamhet. Jobbar du för en kommun så fokusera på riskerna kopplat till invånarnas säkerhet – exempelvis risken för personuppgiftsläckage för invånare med skyddad identitet. Är du verksam i en privat organisation – fokusera på argument som är kopplade till ert värdeerbjudande. Allt fler kunder ställer högre krav på leverantörers informationssäkerhet. Många organisationer använder även sitt informationssäkerhetsarbete i sin marknadsföring. Du har förmodligen sett en och annan leverantör som använder en ISO27000-certifiering för att stärka sitt varumärke.  

Argumenten för att ta informationssäkerhetsfrågan på allvar är många. Det du behöver är en genomtänkt presentation, gärna en timingeffekt och förhoppningsvis en förstående ledningsgrupp.

Lycka till! 

Relaterat innehåll:

Så samordnar du dataskydd och informationssäkerhet

I resurspressade organisationer krävs ett effektivt dataskydds- och informationssäkerhetsarbete. Så hur kan dessa områden samordnas och effektiviseras? Vilka likheter finns mellan dataskydd och informationssäkerhet? Vad skiljer dem åt? Och vad blir resultatet av ett bättre samarbete? I det här webinaret djupdyker vi i begreppen dataskydd
Läs mer »
gdpr-system

Välja nytt gdpr-system – vad du ska tänka på

Ni vill arbeta effektivt med att efterleva GDPR men Excel eller ert befintliga system gör inte riktigt jobbet. Men att ge sig ut på marknaden och försöka hitta ett GDPR-system som passar bättre är en utmaning i sig. Vad ska ni egentligen ställa för krav
Läs mer »