Sådan giver governance og compliance stor værdi for din forretning

Når virksomheder og organisationer skal beskytte sig mod det accelererende antal af trusler fra både stater og kriminelle hacker-netværk, kræver det, at man går målrettet til værks. Og vil man sikkert i mål, handler en stor del af indsatsen om god governance og compliance. 

Disse to områder løser nemlig mange af de udfordringer, som en moderne virksomhed står overfor, fordi man, ved at anvende et rammeværk, kan gå systematisk og metodisk frem og derved få en klar plan og strategi for cybersikkerheden - hele vejen rundt i organisationen.

Det betyder ikke, at teknologien har udspillet sin rolle i bekæmpelsen, for det har den bestemt ikke. Det betyder blot, at teknologi ikke kan løse alle de udfordringer vi står overfor, når det kommer til cybersikkerhed. 

”Vi vurderer, at moderne it-sikkerhed skal passe ind i en 30/70-model. Hvor de 30 procent dækker teknologiområdet, og de sidste 70 procent er mennesker, politikker og kontroller - altså governance og compliance,” siger Tom Madsen, der er GRC Security Advísor i KMD.

Godt for forretningen

Har du god governance og compliance, viser det dine kunder og investorer, at du tager ansvar og derved også cybersikkerheden alvorligt, men ud over denne signalværdi, har det også en direkte positiv effekt for dine forretning.

“Specielt den gode governance vil have en positiv indflydelse. Den første forretningen vil opleve, er effekten af den sikring af værdileveringen, der følger med governance-arbejdet. Desuden vil kontrollen over og identificeringen af forretnings risici have en konkret og positiv indvirkning på din forretning,” vurderer Tom Madsen og fortsætter:
“Mange vil også opleve at italesættelsen af risici og risikoappetit, i forbindelse med denne proces, vil styrke kommunikationen i virksomheden og derved bidrage til en kultur, der tager ansvar for forretningen.”

God governance og - compliance bringer således mange fordele med sig, da den understøtter forretningen. Det er eksempelvis:

Tillid: At kunder og investorer kan have tillid til, at forretningen tager ansvar for sikkerheden af deres egne – og kundernes data.

Retslig beskyttelse: Ved at vise rettidig omhu kan virksomheden beskytte sig mod de værste konsekvenser af et brud på sikkerheden, ikke bare GDPR, men også den kommende NIS2-regulering mv.

Risiko begrænsning: At god governance og compliance hjælper med at identificere og afhjælpe de risici, der bliver identificeret i forretningen.

Omdømme: Virksomhedens gode omdømme kan hurtigt krakelere, hvis man bliver ramt af et cyberangreb. Det er derfor vigtigt at man sørger for at udvise ansvar og have styr på sin compliance. Man kan eksempelvis sørge for at være ISO 27001-certificeret og dermed vise, at man lever op til en række fastsatte krav.

Transparens: God governance giver transparens i forhold til, hvordan organisationen tager beslutninger, samtidigt med, at de ansvarlige roller står klart.

Konkurrencefordele: Virksomheder, der overholder branche-regler og best practise, får en konkurrencefordel. De kan differentiere sig fra konkurrenterne og tiltrække kunder, der prioriterer virksomheder, der agerer etisk og ansvarligt.

Vi kan forvente yderligere krav

Det er en stigende tendens, at både kunder og investorer vil forvente, at deres partnere har styr på den grundlæggende governance og compliance, og at organisationen jævnligt bliver revideret efter et compliance-rammeværk.

”I KMD er vi ISO 27001-certificerede, så vi kan vise vores kunder, at der er styr på sikkerheden hos os,” siger Tom Madsen og fortsætter:

“I de allerede tungt regulerede sektorer, som fx sundhedsområdet eller finans, er der strenge krav til, at der er styr på de grundlæggende processer, og med den stigende regulering vi ser, forventer vi, at disse grundlæggende krav vil ramme mange flere brancher.”

De evt. økonomiske konsekvenser, der kan være ved brud på fx GDPR, er de samme som vil komme til at dække manglende overholdelse af NIS2. 

Blød sikkerhed er (også) vigtig

Governance og compliance har fokus på den ’bløde’ sikkerhed, der ikke handler om teknologi mange af de kontroller og processtrukturer, der findes i ISO 27001, vil også dække teknologierne i en organisation. 

De to presserende spørgsmål bliver derfor: Hvordan skal man som organisation gribe implementeringen af et ISO-rammeværk an? Hvor skal man starte?

I KMD er vi glade for CIS, som er et rammeværk, der er mere teknisk fokuseret, men har potentiale til at være fundament for en implementering af ISO 27001. 

”CIS 18 er mindre omfangsrig end ISO 27001, men der er et overlap mellem kontrollerne i de to rammeværk. Det betyder, at CIS 18 er et godt sted at starte, i arbejdet mod god governance og compliance,” fortæller Tom Madsen.

Ud over ISO 27001 og CIS 18 findes der også en række andre relevante rammeværk. Dem som vi ser hyppigst i vores arbejde er:

CIS 18: Dette rammeværk indeholder 18 hovedkontroller med adskillige underkontroller. Oversigten over CIS 18 kan downloades gratis af alle, så der er ingen udgifter ved at undersøge om den kan være relevant for din virksomhed. Download oversigten her.

NIST 800: 800-serien af standarder fra NIST (National Institute Of Standards & Technology), dækker over mange forskellige områder af cybersikkerhed. De kan alle sammen hentes gratis fra NISTs hjemmeside. NIST er specielt populær i finansielle virksomheder. Særligt 800-207 omkring zero-trust er god.

ISO 2700x: 2700x serien af standarder dækker over flere områder af cybersikkerhed, f.eks. så er ISO 27005 rettet imod risikovurderinger inden for it-sikkerhed, ISO 27002 er den enkelte kontrol, der skal bruges for at leve op til ISO 27001.

COBIT 2019: COBIT er et stort rammeværk, fokuseret på governance af it-infrastruktur. COBIT kan ses som en stor mundfuld, men en af fordelene ved COBIT er, at hvis det bliver etableret, så dækker man også CIS 18, ISO 2700x, m.m.

Hvilket rammeværk man vælger, er mindre vigtigt. Det handler om, at man kan demonstrere, at man lever op til kravene i det valgte rammeværk, og bliver revideret efter det. 

Et formelt rammeværk er altså en måde man kan øge virksomhedens modenhed inden for cybersikkerhed, samtidig med, at man kan demonstrere ansvarlighed overfor kunder og investorer. 

Hvis du vil vide mere om, hvordan du kan gribe arbejdet an, eller har du spørgsmål til compliance eller governance, så er du velkommen til at tage kontakt til os. Så finder vi en specialist inden for dit område.