En av årsakene er etter min mening at vi som arbeider med sikkerhet ikke kommuniserer sikkerhet godt nok på et språk som forretningen forstår. Hvis vi ikke kan forklare godt nok hvordan sikkerhet påvirker nøkkeltall eller hvorfor det har strategisk betydning, er det ikke så merkelig hvis ledere ikke prioriterer sikkerhet høyest på sin agenda.
Jeg tror sikkerhetspersonell vil dra nytte av økt samhandling med Risk Management-miljøene i virksomhetene. Denne type samhandling vil kunne bidra til å forretningsorientere sikkerhetsmiljøene i virksomhetene, noe som videre kan bidra til at sikkerhet settes høyere på agendaen hos virksomhetenes ledere.
4 kommentarer:
Fin kommentar! Det samme har også Roy Stranden vært inne på i et innlegg på NSRs nettside (http://www.nsr-org.no/artikler/sikkerhet_et_lederansvar.htm). Helt enig i at rådgivere og sikkerhetssjefer har en viktig rolle i å overbevise sjefen. I NSM har vi allikevel i flere år lagt vekt på at lederne har ansvaret, nettopp fordi det er sjefene som kan påvirke ressursene til de som jobber med sikkerhet. Det er ledelsen alene som har det overordnede ansvaret for å legge plan og systematikk til grunn for sikkerhetsarbeidet. Og så har vi i NSM et ansvar for å synliggjøre risikoer og sårbarheter på en måte som sjefene forstår. Jeg la inn lenke til bloggen din på blogg.nsm.stat.no under artikkel om Mørketallsundersøkelsen.
Kjetil Berg Veire, infosjef NSM :-)
Så fint, da!
Jeg er også 'oppdratt' til å tro at sikkerhetsfolks manglende evne til å kommunisere viktighet og relevans utgjør et problem. Men med tiden er jeg blitt usikker på om det egentlig er riktig, om kanskje det er å undervurdere forretningslederne for mye. For er det noe de forstår, så er det nettopp hva som truer overskuddet.
Jeg er helt enig i at et tett samarbeid med Risk Mgmt er essensielt, det er nok bare derigjennom at man klarer å få forretningslederne til å vurdere de truslene som vi ser.
Men sikkerhetsfolkenes problem, tror jeg, er heller at produktet vi forsøker å selge ikke passer forretningen. Vi er ikke for dårlige til å forteller om risikoer, vi er heller for dårlige til å tilby sikkerhet som løser de riktige problemene, på en måte som forretningen kan leve med.
IT-sikkerhetsløsninger dreier seg fortsatt i alt for stor grad om å legge bånd på forretningen/brukerne, eller tilfredsstille en revisor. Dette må snus til at sikkerhetsløsningene i stedet driver en forretningsprosess fremover (og dermed kanskje utgjør en strategisk fordel).
Her kommer risikostyringen inn igjen: forretningen må bli bedre til selv å identifisere hvilke risikoer som er relevante for dem. I tillegg må de ta med dette i vurderingene når selve forretningsprosessene bygges, slik at ikke sikkerhet fortsatt må legges på som sperrer i etterkant. Dette må selvsagt de med sikkerhetskompetanse hjelpe med, men vi må ikke tro at vi kan fortelle dem hva som er riktig.
Vi må altså klare å fri oss fra rollen som festbremser. Men det handler mer om risikostyring og hvordan vi forstår forretningsprosesser enn om hvordan vi kommuniserer sikkerhetstrusler til forretningen.
Takk for fin kommentar på bloggen min :)
Legg inn en kommentar