Ledning och styrning

Ledning och styrning av cybersäkerhet handlar först om att skapa, driva och vidareutveckla en operativ modell för säkerhetsarbetet. Modellen är kärnan i det övergripande ledningssystemet.

Ledningssystem
Operativ modell
Decentralisering

Hur säkerhet levereras till verksamheten och produkterna

Operativa modeller beskriver hur värde levereras till kunder. I vårt fall är värdet säkerhet och kunderna är företagets verksamhet och de produkter den erbjuder.

För det första finns ingen standardmodell som kan implementeras utan säkerhetsarbetet måste harmonisera med företagets övergripande, operativa modell. Det finns dock en serie fasta hållpunkter. Banker och finansbolag måste exempelvis alltid tillämpa de tre försvarslinjerna så modellen måste ta detta i beaktning. Vidare, då branschen har otaliga regelverk med tillhörande tillsynsorganisationer förutsätts nästan alltid en god nivå av assurans i arbetet.

För det andra är en operativ modell aldrig färdig utan är under konstant förändring. Därför krävs kontinuerlig feedback för att styra vidareutvecklingen.

Den operativa modellens egenskaper

Precis som all verksamhet i vinstdrivande företag så måste säkerhetsarbetet vara kostnadseffektivt. Kostnadseffektivitet innebär mer precist att det måste finnas utrymme för att ta större risker inom vissa områden medan andra, typiskt väsentliga processer och uppgifter som omfattas av banksekretess, tas om hand noga.

Springflods syn är att skalbarhet och robusthet, förutom kostnadseffektivitet, är de i särklass viktigaste egenskaperna i en operativ modell för cybersäkerhet. Nyckeln för att uppnå effekt i alla tre samtidigt är decentralisering där ansvar för säkerhet kan, vill och får tas ute i företaget och inte främst i centrala funktioner.

Det ska dock understrykas att en operativ modell för cybersäkerhet med nödvändighet är skräddarsydd. I skapandet gäller vanliga frågor som: Var är företaget om fem och tio år? Vilka styrkor utnyttjar vi inte? Vilka är våra svagheter? Vad vill verksamheten (våra kunder) ha av oss? Respekterar vårt arbete företagets riskaptit och -tolerans?

Begrepp inom området

  • Operativ modell med ledningssystem
  • Väsentliga processer
  • Banksekretess
  • Kostnadseffektivitet
  • Robusthet och skalbarhet
  • Decentraliserat ansvar
  • Hotbildsbedömning
  • NIST Cybersecurity Framework

Kan vi hjälpa dig?

Ange din mailadress i formuläret nedan så kontaktar Martin dig.

Alternativt, kontakta Martin direkt på martin@springflod.se eller 070-995 54 88.

Aktuellt

Brott mot banksekretess enligt SwedSec

Läs inlägget här

Aktuellt

Att tänka på när du tar in en säkerhetskonsult

Läs inlägget här