GRC
Cybersäkerhet har ofta en svag ställning i den andra försvarslinjens funktioner. Det behöver inte vara så.
Cybersäkerhet i andra försvarslinjen
Stärk cybersäkerhetens ställning
Inkludera andra mål än kapitaltäckning
Den andra försvarslinjen och cybersäkerhet
Funktionen för riskhantering bär ett oerhört tungt ansvar för företagets hantering av risker. Den ska inte bara övervaka företagets väsentliga risker på egen hand, första linjens hantering av risker ska övervakas och förbättras. Dessutom har funktionen och riskchefen till uppgift att rapportera cybersäkerhetsrisker för vd och styrelse.
Till skillnad från finansiella risker är inte kapitaltäckning det slutgiltiga målet för operativa risker. Det viktiga är att utöva kontroll över dem. Att förvissa sig om att en tillräckligt stor andel av dem är upptäckta, att de är uppförda på listan och att deras potentiella inverkan antingen analyserats och är acceptabel alternativt åtgärdas.
Sannolikheten i cybersäkerhetsrisker avseende olika former av intrång eller bedrägeri beror nästan helt på faktorer som är utanför företagets kontroll. Integrerade it-miljöer innebär i sin tur att konsekvenser är svåröverblickade. Resultatet är att cybersäkerhetsrisker är i princip omöjliga att värdera tillförlitligt.
Opålitliga värderingar gör att hanteringen av risker inom cybersäkerhet sällan har någon vidare status hos funktionen.
Andra försvarslinjen
Operativa risker
Regelefterlevnad
Kontrollfunktioner
Riskrapportering
SWIFT CSCF CSP