Ledelsens rolle i risikostyring

Ledelsens engagement i risikostyring er afgørende for organisationen kan arbejde risikobaseret og sætte ind, hvor risici er størst.

Risikostyring inden for informationssikkerhed er ikke blot et teknisk anliggende – det er et strategisk ledelsesansvar. Indsigterne fra risikostyring danner grundlag for, at organisationens ledelse kan træffe beslutninger om, hvilke risici organisationen skal reducere, hvor meget disse skal reduceres, og hvor mange ressourcer, der skal anvendes på dette.

Ledelsens rolle i risikostyring inden for informationssikkerhed omfatter flere nøgleopgaver.

Ledelsen skal:

  • Sætte retning og prioritere ressourcer: Det er ledelsens ansvar at sikre, at der er de nødvendige kompetencer, systemer og ressourcer til at identificere, vurdere og håndtere sikkerhedsrisici løbende. Udover at organisere sikkerhedsarbejdet, bl.a. gennem en dokumenteret risikovurderingsmetode, fastsætte kriterier for risikoaccept og afsætte passende årsværk til arbejdet, kan ledelsen vælge at sætte fokus på specifikke kompetenceløft, som imødekommer de udfordringer, risikovurderingerne viser.
  • Godkende og følge op på risikovurderinger: Ledelsen bør være involveret i at godkende væsentlige risikovurderinger og handleplaner – og sikre, at der følges op på fremdrift og eventuelle ændringer i trusselsbilledet. Det kan fx ske på sikkerhedsudvalgsmøder.
  • Fremme en risikobevidst kultur: Ved at vise engagement og gå forrest, er du med til at skabe en kultur, hvor risici tænkes ind i det daglige arbejde og den risikobaserede tilgang danner grundlag for beslutninger.

Endelig har ledelsen ansvaret for at holde sig opdateret om det aktuelle trusselsbillede. Det kan fx gøres ved at afsætte fast tid til at holde sig opdateret i SAMSIK’s trusselsvurderinger.

I lighed med kravene i ISO 27001 lægger NIS 2-loven vægt på, at ledelsen skal godkende og føre tilsyn med de sikkerhedsforanstaltninger, der skal håndtere risiciene. Ledelsen får med NIS 2-loven en rolle, der er mere aktiv og involveret i den løbende risikostyring inden for cyber- og informationssikkerhed.

Ligesom i alle andre discipliner er ledelsens fokus en vigtig forudsætning for, at risikostyring bliver værdifuld. Risikostyring er ikke en engangsopgave – det er en løbende indsats. Som leder skal du sikre den rette fokus i din organisation og hvis nødvendigt styrke jeres tilgang.