Hur skapar du ledningens intresse för informationssäkerhetsarbete?

För att uppnå ett kontinuerligt informationssäkerhetsarbete är ledningens intresse grundläggande. Hur mycket du än driver och förankrar frågan i verksamheten så kommer alltid resurser dras in, frågan prioriteras ned och ditt arbete stanna av om förankring inte har skett hos ledningen. Att lyckas med detta är dock lättare sagt än gjort. Den lilla femminutaren för att diskutera informationssäkerhet du bad om på ledningsgruppsmötet blir hela tiden nedprioriterad och struken från agendan. Och när du väl får ledningens intresse blir svaret att det kostar för mycket. Det är en tung börda att bära ibland, att driva informationssäkerhetsarbetet i en organisation.  

Så hur ska du gå tillväga för att fånga ledningens intresse för informationssäkerhetsarbete? Vi listar våra tre bästa tips!   

Lär av historien

I och med nya regelverk måste nu incidenter anmälas till Datainspektionen. Det innebär att skandaler som tidigare tystats ner numera synliggörs i media. I din argumentation är därför ett tips att använda exempel från organisationer som liknar er och hur de påverkades av en incident. Att använda timing-effekten och välja ett tillfälle då någon annan trampat i klaveret kommer garanterat leda till att ledningen är mer benägen att lyssna på det du har att säga. Att avvakta med att ta tag i frågan tills det finns en bra tidningsrubrik är dock inte att rekommendera.  

Bygg dina argument med data 

Data gör det svart på vitt – och svårt att blunda för. Om ni har arbetat ett tag med frågan finns det användbart material internt i organisationen. Om ni har genomfört en IT-revision innehåller rapporten garanterat ett antal brister. Även tidigare genomförda riskanalyser och riskvärdens statiska karaktär kan utgöra argument för att något behöver förändras.  

Konsekvenser av att ignorera frågan 

Vad händer om er organisation ignorerar frågan? Exempel på argument att nyttja är sanktionsavgifter vid incidenter och försämrat varumärke. De argument du plockar fram bör vara direkt kopplade till det som är värdeskapande i er verksamhet. Jobbar du för en kommun så fokusera på riskerna kopplat till invånarnas säkerhet – exempelvis risken för personuppgiftsläckage för invånare med skyddad identitet. Är du verksam i en privat organisation – fokusera på argument som är kopplade till ert värdeerbjudande. Allt fler kunder ställer högre krav på leverantörers informationssäkerhet. Många organisationer använder även sitt informationssäkerhetsarbete i sin marknadsföring. Du har förmodligen sett en och annan leverantör som använder en ISO27000-certifiering för att stärka sitt varumärke.  

Argumenten för att ta informationssäkerhetsfrågan på allvar är många. Det du behöver är en genomtänkt presentation, gärna en timingeffekt och förhoppningsvis en förstående ledningsgrupp.

Lycka till! 

Relaterat innehåll:

Konsten att kommunicera i informationssäkerhetsfrågor

Konsten att kommunicera i informationssäkerhetsfrågor

Ett snabbt förändrat säkerhetslandskap kräver informerade och handlingskraftiga organisationer. Som CISO behöver du idag kunna övertyga både medarbetare, ledning och beslutsfattare om vikten av frågorna. Så hur lyckas du i praktiken? Välkommen på ett webinar där Håkan Sonesson, CISO på Jönköping University, delar över 25
Läs mer »
En bild på en skog i kommuner

Förberedelser inför NIS2 -direktivet: En guide för kommuner

Vi närmar oss snabbt införandet av det nya NIS2-direktivet och många offentliga aktörer ställer sig nu frågan om de kommer omfattas eller inte. Det nya direktivet kommer innebära att offentliga aktörer kommer omfattas i betydligt högre utsträckning än tidigare. Som direktivet är skrivet kan det
Läs mer »