Så här övertygar du ledningen om att satsa på IT-säkerhet
2
SKA VI BARA PRATA OM RISK, RISK, RISK? Risk Kontroll Image Kvalitet
KONTROLL OCH KVALITET Hotet inifrån 80 % av Informationssäkerhetsincidenter kommer inifrån! Konfidentialitet Integritet Riktighet Spårbarhet
IMAGE - VARUMÄRKE Kan hög IT-säkerhet stärka varumärket? Kan dålig IT-säkerhet förstöra varumärket? Förtroende hos - Personal - Kunder - Investerare - Allmänheten
RISK! ÄNTLIGEN!
7 VAD ÄR DET VI SKA SKYDDA? Är det inte vettigt att ta reda på vad man vill skydda och varför? Varför ska man köpa en försäkring? Vad är det som styr huruvida jag tycker att premien är OK? Vad krävs för att jag ska utöka mitt försäkringsskydd? Varför höjs premien om jag är mer riskexponerad?
RISKER Risk Affärsvärden Compliance Företagets överlevnadsförmåga (motståndskraft) Att produkter och tjänster går att använda över tid Plötsliga kostnader Regulatoriska krav Nya regler förväntas kring IT- och informationssäkerhet som kan komma att omfatta - IT-personal - Processer - Produkter
DIGITALISERING (DIGITAL UTVECKLING) ÖKAR IT-RISKERNA Övertyga ledningen om att varje investering i IT numera också kräver investeringar i IT-säkerhet. Ledningar uppfattar ofta satsning på IT som strategiskt viktigt, men inser inte säkerhetskonsekvenserna. Gartner: Mindre än 2 % av CEO:s ser cyber security som den mest viktiga makrotrenden. CEO:s tenderar att investera mer i teknologi utan att öka investeringar kring IT-relaterade risker, vilket ökar verksamhetens och kundernas sårbarhet.
NU SKA VI SÄLJA!
LEDNINGARNAS OLIKA PERSONA Ekonomen Entreprenören Målgruppsanpassa! Tjänstemannen Generaldirektören
VAD SKA VI KOMMUNICERA? ARGUMENT! Minimera FUD, fokusera på affärsmålen och organisationens beredskap att hantera risker. Hitta en balans mellan att skydda organisationen vs att kunna utföra sin verksamhet. Sätt alla argument i ett affärssammanhang som är relevant för ledning/styrelse och undvik sånt som bara är relevant för IT- och säkerhetspersonal. Förutse och formulera kommande regulatoriska krav på IT-personal, informationshantering och produkter. IT-investeringar sker mer och mer direkt i verksamheten utan att passera IT. Vad får det för konsekvenser för styrning och kontroll av ITsäkerhet? Utbilda ledningen i hur nya teknologitrender, t.ex. IoT, oundvikligen kräver mer investeringar inom säkerhet. Gartner: 2020 kommer 100 % av alla stora företag att behöva rapportera om IT-säkerhet till styrelsen. Gartner: Kostnader för att hantera IT-relaterade risker kommer att dubbleras inom 5 år.
KOMMUNICERA SMARTARE Informera och utbilda ledning och medarbetare Målgruppsanpassa argumenten Påverka beslut Förändra beteenden i vardagen Gör tydliga kopplingar till affärs- och verksamhetsmål Prata om risker istället för hot Tajming Vi som ansvarar för säkerhet måste förbättra hur vi kommunicerar värdet av säkerhetssatsningar genom att koppla dem till affärsmål och verksamhetsmål, inte genom att presentera teknisk statistik. Det är inte vi själva som är målgruppen!
14 TÄNK PÅ 3 SAKER 1. Jobba idogt med insikt och bygg allianser med olika perspektiv på verksamheten. Ingen idé att predika för de redan frälsta. 2. Koppla alltid argumenten till affärs- eller verksamhetsmål (skyddsvärde), undvik teknik. 3. Övertyga ledningenom att varje investering i IT numera också kräver investeringar i ITsäkerhet.
15
NU BLIR DET VINPROVNING! VILKA RISKER INNEBÄR DET?