2021-02-08

Governance, risk og compliance sikres gennem kultur og ledelse

”Kommunen fanget i it-brist”, ”Stor fejl i it-system: Ledere kunne se medarbejderes private oplysninger”, ”Dårlig sikkerhed: TV 2 kunne hacke kommuner”, ”It-brist på rådhuset: 95 havde adgang til personfølsomme oplysninger”. Dårlige sager er der nok af, når historierne om huller i kommunernes it-sikkerhed ser dagens lys. Det gør ondt på omdømmet, når kommunerne rammer avisspalterne, og jeg undrer mig gang på gang over, at det kan blive ved med at ske.

Manglende styring er roden til alt ondt

Svaret skal vi finde i styring – eller mangel på samme. For de dårlige historier vidner om fraværet af en klar strategi for, hvordan kommunerne løbende vurderer, tilpasser og følger op på deres sikkerhedsarbejde.

For når vi taler om styring, så taler vi også om styringssystemer. Systemer og modeller for, hvordan vi får organiseret os og beskrevet retningslinjer, og herefter får det ud at leve blandt medarbejderne. For selvom teknologi kan få os langt, må vi se i øjnene, at teknologien ikke kan løse alt. På et eller andet tidspunkt stopper teknologiens virkefelt, og så opstår der et tomrum op til det niveau, man gerne vil være på rent sikkerhedsmæssigt.

Det tomrum skal fyldes med politikker, processer og ikke mindst oplysning, og det er desværre her, vi ofte ser ulykkerne ske. Mange sikkerhedsbrister sker nemlig på grund af menneskelige svipsere og almindelige hverdagsdumheder, der ikke kan stoppes eller forhindres af dyrt indkøbte sikkerhedssystemer. Er der ikke styr på processerne, så er det min erfaring, at man vil ryge i de samme huller igen og igen. Og det er særligt vigtigt i en verden som kommunernes, hvor data typisk ikke ”ejes” af it-afdelingerne, men på tværs af organisationen, forvaltninger mv. 

God sikkerhedskultur skal forankres i ledelsen

I Atea er god it-sikkerhed baseret på tre ligevægtige elementer: Teknologi, processer og mennesker. Med et risikobaseret blik kigger vi på organisationen i sin helhed: Hvad er det for en organisation, vi har med at gøre? Hvilken type af risici knytter sig til organisationen? Hvad kan det have af konsekvenser for organisationen eller borgerne, hvis den bliver kompromitteret eller oplever en sikkerhedshændelse?

Oftest bekræftes vi i, at mediernes overskrifter om it-brist ikke eksisterer uden grund, for vores analyser viser, at der i høj grad er for lidt fokus på menneske og adfærd – to yderst vigtige komponenter, når vi taler om styring af risici. Og hvor skal vi så rette kikkerten hen?

Kulturen. For mens interne politikker om fx clean desk, er en god rettesnor, så bringer det os ingen vegne, hvis kulturen ikke er på plads. Som en af mine gode kolleger siger: ”Du kan købe dig fattig i sikkerhedsløsninger, men hvad nytter det, hvis medarbejderne ikke er tilstrækkeligt uddannet til at håndtere dem?”.

Sikkerhedskulturen og den generelle it-adfærd skal forankres ledelsesmæssigt, så det bliver tydeligt, hvordan det ønskes, at medarbejderne agerer i bestemte situationer. Det er fx ikke hensigtsmæssigt, at nærmeste leder går fra sin computer uden at låse den for at hente sine prints med personoplysninger på borgere – som i øvrigt har ligget frit tilgængeligt ved printeren en time. Dette vil helt automatisk sive ned til medarbejderne som acceptabel it-adfærd, og det er ganske enkelt ikke optimalt for at opretholde det nødvendige sikkerhedsniveau.

Hvis ikke teknologi, processer og mennesker går hånd i hånd, så er det ligegyldigt, hvor meget vi ellers skeler til ISO27001, CIS20 og andre rammeværker.