Hvordan formidler du informationssikkerhed til topledelsen?

December 12, 2018 at 16:17

Jeg deltog for nylig i det første modul af ESL-kurset, der fokuserede på sikkerhedsstyring, og som fokuserede på, hvordan du rapporterer til topledelsen. Sikkerhedsstyring er en væsentlig del af en virksomheds Governance – Risk og Compliance niveau, og jeg vil derfor gerne give dig et par gode råd på vejen om, hvordan du formidler informationssikkerhed til topledelsen.


Overvej dit publikum
En af de første ting, du skal overveje, er dit publikum. Er det et dedikeret sikkerhedsudvalg eller er det selve bestyrelsen? Dette vil hjælpe dig med at bestemme formatet og ikke mindst detaljeringsniveauet.

Definer et standard rapporteringsformat
Hvor ofte vil du rapportere og hvordan? Vil du basere din rapportering på en sikkerhedsstandard? Vil du bruge dashboard / KPI'er osv., vil du inkludere budgetter, ressourcer, aktiviteter, der er gennemført og planlagte og vil du inkludere oplysninger omkring sikkerhedshændelser?

Definer et ad hoc-rapporteringsformat
Når du har defineret et standard rapporteringsformat, er det nemmere at definere et ad-hoc rapporteringsformat, og det gør det samtidig muligt at udføre ad hoc-rapportering hurtigt og effektivt, når der er behov.

Hvad skal du undgå, når du rapporterer
Det er vigtigt at sikre, at beskeden når dit publikum med succes, og at de forstår dit sprog. Derfor vil jeg anbefale dig at undgå følgende aspekter:

  1. Meget tekniske emner: Ofte kræver en besked ikke en dyb forståelse af de underliggende teknologiske aspekter. Det er derfor bedst at undgå de detaljerede aspekter og holde sig til de højtstående principper. Hvis dit publikum gerne vil vide mere, skal de nok sige det til dig.
  2. Unødvendige detaljer: En besked modtages som ofte bedre, hvis den ikke er omgivet af unødvendige detaljer, hvilket kan distrahere modtageren.
  3. Slang / forkortelser: Det er altid bedre at holde til standardsprog, så alle kan modtage og forstå beskeden.
  4. Skrigende ulv: Det er bedre at præsentere information og beskeder på en afslappet og informativ måde, snarere end at sige ”ulven kommer” og skræmme ledelsen til en hurtig handling.
  5. Navngive ansatte: Det er altid bedre at henvise til en afdeling eller rolle i organisationen end at navngive bestemte personer for at understøtte konceptet af roller og ansvar.

Vil du gerne vide mere?
Hvis du gerne vil vide mere omkring informationssikkerhedsrapportering, eller hvordan vi kan rådgive dig om Governance-Risk-Compliance, så tag endelig fat i mig eller en af mine kolleger.