http://www.csoonline.com/article/731833/three-simple-steps-to-determine-risk-tolerance-
Ved første øyekast synes dette å være ganske tilforlatelig, selv om jeg må innrømme at jeg etterhvert har blitt immun mot alle de nye mote-ordene (Risk tolerance? Var vi lei av Risk Acceptance og Recidual Risk allerede?)
Det er en veldig grei og rett-frem tilnærming denne artikkelen gir oss:
- Bestem hvor mye risiko du kan tåle
- Finn ut hvilken motivasjon du har for sikkerhetsarbeidet
- Bestem hvem som kan bestemme hvilken risiko du kan tåle
Jeg tror at mange vil kjenne seg igjen i følgende situasjon:
Den som er ansvarlig for det utøvende sikkerhetsarbeidet (CISO og ned) vet at omfanget og kompleksiteten i jobben deres er formidabel. En kan ikke forhindre sikkerhetsbrudd, fordi det ikke er forutsigbart. En kan ikke forsvare seg mot alt, fordi ressursene ikke strekker til. Med andre ord, ressursene må prioriteres. Prioritering betyr beslutning (ledelse) og er i seg selv en risiko. Hva om jeg har prioritert feil?
Slik kan man i følge artikkelen ikke ha det, så en skal da ha et Enterprise Risk Management (ERM) system hvor risiko skal kvantifiseres (forferdelig dårlig idé). I praksis er min erfaring at slike systemer handler om én ting. Å øverføre ansvaret for beslutningene fra CISO til Styret, CEO, Adm Dir eller hvem det nå er som avnikker et slikt dokument. Nå er vi tilbake til ROS-analyser, rest-risiko og akseptansnivåer for risiko. CISO ønsker ikke at risiko-toleransen endrer seg hele tiden, for det gjør jo hverdagen uforutsigbar og stressende. Når ledelsen har besluttet hva de vil akseptere, så har CISO or sikkerhetsorganisasjonen fått sin høyre og venstre begrensing. Når det går galt, og CISO har levert innenfor sitt oppdrag, ja da er det vel noen andre som får ta støyten da.
Hvilken motivasjon en har til sikkerhetsarbeidet er sikkert greit å ha et forhold til, og jeg er enig i det artikkenel konkluderer med: Du vil ha en mix av alle typer motivasjon. Skal vi revideres i neste uke, sier du? Da er det KUN compliance som er viktig. Personvern synes å være svært viktig etter at man har hatt en større hendelse som rammer akkurat det området. Ellers tenker jeg at det er det virksomhetskritiske og operasjonelle som har størst fokus. For Forsvaret sin del, handler dette om liv og død. Informasjonssikkerhet, både det som gir reell sikkerhet og det som dessverre ødelegger for den, har betydning for menneskers liv i operasjonene.
Derfor blir jeg litt oppgitt når dette pakkes inn i "systemer" og verktøy som bare tilfører ekstra avstand til den reelle risikoen. Det eneste som blir bedre er følelsen av å ha håndtert risiko.
Det siste punktet, hvem som kan bestemme, er jo åpenbart. Delegering av myndighet er jo noe en gjør i alle deler av en organisasjons virksomhet.
For meg handler dette mest om å lede og om a ta ansvar. Å lage intrikate systemer for måling av risko, og å binde nivået over deg til å ta på seg ansvaret for noe de uansett ikke kan forutsette fullt ut, er ikke å lede eller å ta ansvar. Å delta aktivt, og likeverdig, i de operative ledelsesprosessene er noe helt annet.
Det er derfor at CISO'er skal sitte ved sjefens bord. Felles situasjonsforståelse og en dynamisk tilnærming til hvordan en skal forholde seg til risiko bør være målet.
Ingen kommentarer:
Legg inn en kommentar