Group 2804

Risikostyring og styringssystem

 Fundamentet for dokumenterbar sikkerhet 
compliance

Struktur før teknologi

Et styringssystem for informasjonssikkerhet handler ikke om programvare. Det handler om struktur. Uten en tydelig modell for hvordan risiko identifiseres, vurderes og følges opp, vil sikkerhetsarbeidet bli fragmentert og reaktivt.

Risikostyring er selve fundamentet i regulatorisk etterlevelse. Tiltak skal ikke velges basert på hva som er tilgjengelig i markedet, men på hva som reduserer dokumentert risiko for virksomhetens kritiske funksjoner.

Når risikostyringen fungerer, får ledelsen et beslutningsgrunnlag. Når den ikke fungerer, blir sikkerhet et teknisk sideprosjekt uten helhetlig retning.

 

 

Hva et fungerende styringssystem innebærer

Et modent styringssystem skal gi ledelsen oversikt over risiko, beslutninger og forbedringstiltak. Det skal tydeliggjøre ansvar, etablere faste prosesser og sikre sporbarhet.

For å få dette til må virksomheten ha:

  • En strukturert og dokumentert risikostyringsprosess 
  • Tydelige roller og ansvar
  • Dokumenterte policyer og rutiner
  • Fast rapportering til ledelse og styre
  • Årshjul for sikkerhetsarbeid
  • Kontinuerlig forbedringsprosess 

Dette er kjernen i etterlevelse.

 

Fra engangsløft til kontinuerlig styring

Mange virksomheter gjennomfører én risikovurdering i forbindelse med et prosjekt eller tilsyn. Et styringssystem krever noe mer – det krever kontinuitet.

Risiko endrer seg. Trusselbildet utvikler seg. Teknologi og leverandører endres. Derfor må risikostyringen være en levende prosess som oppdateres og rapporteres jevnlig.

Sikkerhet må inngå i virksomhetens årshjul på lik linje med økonomi og HMS.

Hvordan Sodvin bygger systemet

Sodvin bistår med å etablere styringssystem tilpasset virksomhetens størrelse, kompleksitet og regulatoriske krav.

Det skal være robust nok til å tåle tilsyn, men samtidig praktisk nok til å fungere i daglig drift.

Et viktig element i dette arbeidet er:

Målet er ikke å lage dokumentasjon for dokumentasjonens skyld – men å etablere reell styringskontroll. 

 Kontroll oppstår når struktur blir en del av driften. 

 

Snakk med oss om Compliance og Sikkerhetsrådgivning!

Artikler

De fleste dataangrep skjer utenfor arbeidstid

Mange virksomheter har gode sikkerhetsverktøy, men hva skjer når varslene kommer om natten, i helgen eller i ferien? Moderne IT-sikkerhet handler ikke bare om å oppdage trusler. Det handler om hvem som faktisk reagerer når noe skjer.

Les mer

Identiteten har blitt den nye sikkerhetsperimeteren

Når Microsoft-pålogging brukes overalt, blir identitetsbeskyttelse et lederansvar IT-sikkerhet handler fortsatt om å beskytte enheter, nettverk og data. Men trusselbildet har endret seg betydelig de siste årene. Stadig flere angrep retter seg nå dire...

Les mer

Slik bygget SuCom et moderne datasenter med Nutanix

SuCom AS er et teknologiselskap med base på Sunndalsøra, som primært leverer kommunikasjons-tjenester og fiberinfrastruktur til både bedrifts- og privatmarkedet. Som en sentral aktør i regionen er selskapet avhengig av stabile og fleksible IT-løsning...

Les mer