Ledning och styrning

Ledningar som gör skillnad

Ledningens agerande, inte minst att fatta beslut, sätta frågorna på agendan och själv vara en förebild, legitimerar frågorna och har mycket stor betydelse för hur informationssäkerhetsarbetet kommer att utvecklas i organisationen. Att införa ett systematiskt informationssäkerhetsarbete är att leda ett förändringsarbete som påverkar organisationen på många sätt, och detta kräver ett samarbete och mellan ledning och CISO.

Fördelar med, och vad som kännetecknar en ledning som gör skillnad är att den:

• Är lyssnande och nyfiken. Ledningen är villig att öka sin kunskap i området för att kunna fatta bra beslut (se avsnittet Ledningens behov av information och kunskap).
• Utser en CISO och ger denne tydligt mandat och ansvar.
• Förstår och beslutar en strategisk inriktning för informationssäkerhet. Ledningen förstår nyttan med informationssäkerhet och att den utifrån denna står bakom strategiska mål och tillvägagångssätt, som normalt uttrycks och publiceras i organisationens informationssäkerhetspolicy.
• Tilldelar resurser till området. Resurser ska vara i paritet med målsättningar och ambitioner. Det kan vara initiala resurser och återkommande som i årliga handlingsplaner.
• Är en förebild i organisationen. Ledningen agerar och gör uttalanden i enlighet med den strategiska inriktningen och för upp dessa frågor på agendor i olika sammanhang. Dessa är viktiga signalvärden som andra i organisationen anammar och tar efter och som legitimerar och sätter frågorna på agendan.
• Vill hålla sig informerad och föra en kontinuerlig dialog med dig som CISO. Detta gäller både informell dialog och i mer formella former som enligt Ledningens genomgång.

Informationssäkerhetsarbetet är inte heller ett självändamål, utan syftar till att stötta organisationen i sin strävan att nå sina mål. För ledningen innebär det ett strategiskt och långsiktigt perspektiv och för dig som CISO innebär det att stötta och informera så att ledningen får rätt förutsättningar för det.

Hur ser ledningen ut?

I metodstödet refereras det generellt till organisationens ledning. Beroende på om organisationen är ett aktiebolag, en statlig myndighet en kommun eller något annat så skiljer sig organisationens ledning och styrning.

En organisations högsta beslutande organ är vanligtvis en styrelse (eller nämnd) som tar strategiska beslut och som utser organisationens högsta chef styr organisationen. Chefen kan beroende på organisation benämnas för exempelvis verkställande direktör (VD), generaldirektör (GD) eller kommundirektör (KD). Chefen leder i regel en ledningsgrupp som i sig är rådgivande till chefen som själv fattar besluten. En ledningsgrupp är ofta sammansatt av representanter för de huvudsakliga verksamheterna och kompetensområdena i organisationen. Med ”ledningen” avses i den här vägledningen en organisations högsta ledning som i regel utgörs av den högsta chefen som rapporterar till en styrelse och som har en rådgivande ledningsgrupp.

I till exempel koncerner och kommuner som utgörs av flera bolag eller nämnder kan ledningsstrukturen vara komplex, vilket ofta innebär att du som CISO, själv eller genom samordnare eller liknande, behöver möta flera olika ledningar i samma organisation. Här blir det extra viktigt att anpassa mötet till målgruppen så att ledningar på alla nivåer får relevant information och kunskap.

Ta reda på vem som utgör ledningen i din organisation och på vilka sätt organisationen styrs. De formella aspekterna, såsom mandat att fatta beslut, är i allmänhet lätta att ta reda på genom att läsa formella strategier, styrdokument och verksamhetsplaner och -budgetar, delegationsordningar med mera.

I alla organisationer finns också mer eller mindre informella aspekter av ledning och styrning. Vilka personer är tongivande i ledningsgruppen, vilka informella ledare finns i organisationen, och finns det outtalade prioriteringar och principer för hur saker ska ske i organisationen? Till skillnad från den formella styrningen är det i allmänhet svårare att identifiera den informella styrningen. Den går inte att läsa sig till, du behöver lära känna organisationen på djupet. Här handlar det mycket om att lära känna och lyssna till olika roller och känna in stämningar, till exempel då man har presentationer för ledningsgrupper eller styrelser, eller genom att höra med någon som är van vid att göra detta i organisationen.

Att stötta en ledning som gör skillnad

Det första och viktigaste steget är att ledningen får insikt i betydelsen av och nyttan med informationssäkerhet. Du som är nytillsatt CISO bör därför ha som en första prioritet att få tid hos ledningen för att diskutera dessa frågor, känna in var ledningen befinner sig och komma överens om hur informationssäkerhetsarbetet kan och bör bedrivas på ett lämpligt sätt i organisationen. Ett första möte kan handla om en dialog där ni berättar för varandra vad ni upplever som viktigt för organisationen, hur ni ser på informationssäkerhet och vad ni ser som ert gemensamma första steg. Det här hjälper er att tillsammans tydliggöra kopplingen mellan satsningar på informationssäkerhet och organisationens strategiska mål och visioner.

Ledningars kunskapsnivå och förståelse för informationssäkerhet varierar. Initialt kan du som CISO behöva ge ledningen en grundläggande information och kunskap om informationssäkerhet för att sedan kunna diskutera nyttan för den egna organisationen (se avsnitt nedan Ledningens behov av information och kunskap). CISO:s kommunikation med ledningen bör alltid anpassas till den egna ledningen och den egna organisationen (se sista avsnittet Kommunikation med ledningen).

Kopplingen till organisationens visioner, mål och strategier och vad som för närvarande är prioriterat är viktig. Informationssäkerhet har inget egenvärde, utan ska stödja och förbättra organisationens resultat, effektivitet, konkurrensförmåga, att efterleva rättsliga krav med mera. I många fall är en god informationssäkerhet en förutsättning för digitala tjänster och det finns ofta informationssäkerhetsaspekter i redan prioriterade områden i organisationen. Genom att koppla informationssäkerheten till organisationens strategiska, taktiska och operativa inriktning och verksamheter, så skapas en förståelse för dess nytta och betydelse för organisationen.

Ett annat sätt att öka medvetenheten är att illustrera vad bristande informationssäkerhet kan medföra. Spel, övningar och riskanalyser som görs i workshopform med ledningar som visar på möjliga konsekvenser för organisationen är ofta hjälpsamma. När en ledning får fundera på vad ett längre avbrott av ett kritiskt system innebär öppnar det ofta för konstruktiv dialog.

Information om inträffade incidenter vid rätt tidpunkt och i rätt sammanhang kan också hjälpa ledningen. Dessa är till skillnad från fiktiva scenarier och övningar reella och visar på faktiska brister och konsekvenser. Det kan också handla om incidenter som inträffat på andra håll i samhället, gärna i en liknande organisation som den egna där det ”lika gärna kunde drabba oss”.

Det är alltid viktigt, och ofta nödvändigt, att samverka med närliggande stödverksamheter. Kommunikation med ledningen kan också med fördel göras tillsammans med andra som har liknande eller överlappande intressen, exempelvis dataskyddsombud, risk manager eller kvalitetschef. Informationssäkerhet är inte, och ska inte ses som, ett enskilt separat spår i organisationen, utan i slutänden något som förbättrar och möjliggör dess kärnverksamheter. En stor fördel kan därför vara att samarbeta med en chef eller representant från en kritisk kärnverksamhet som står nära verksamhetsnyttan.

För att ledningen ska kunna fatta informerade beslut är det viktigt att den kontinuerligt informeras och ges möjlighet att följa och påverka arbetet. En viktig del av CISO:s uppdrag är därför att skapa arbetssätt som regelbundet involverar ledningen. För att detta ska fungera över tid behöver ledningens totala arbetsbelastning och förutsättningar i övrigt vägas in i arbetet. CISO:s förståelse för ledningens arbete är lika viktig som ledningens förståelse för informationssäkerhetsarbetet.

Under svåra förhållanden kan fokus riktas åt andra håll, trots att behovet av informationssäkerhet egentligen bara ökar. Under coronapandemin, då många fler medarbetare började arbeta på distans, ökade en mängd informationssäkerhetsrelaterade hot och sårbarheter. I sådana situationer blir det ömsesidiga förtroendet extra viktigt och du som CISO bör sträva efter att stötta ledningen i att fatta säkra beslut på kort tid.

Ge ledningen tillräcklig information och kunskap

Ledningen behöver självklart inte ha en djup och specialiserad kunskap om informationssäkerhet och informationssäkerhetsarbete. Ledningens behov av kunskap ligger generellt på en strategisk nivå, men liksom övriga medarbetare behöver ledningen också ha konkret och praktisk kunskap om säker it- och informationshantering och kunna efterleva gällande regelverk. Detta är extra viktigt eftersom ledningen vanligtvis hanterar känslig och kritisk information, men också för att de fungerar som förebilder i organisationen.

Nedan presenteras ett antal områden som är typiska för vad en organisations ledning behöver ha kunskap inom. Vikt och prioritet av de olika områdena kan variera mellan organisationer. Ledningar varierar i grad av kunskapsnivå och mognad och det är som alltid viktigt att man vid information och utbildning anpassar innehållet till den mottagande målgruppen – ta reda på vad just din ledning behöver.

När det gäller det löpande arbetet behövs alltid återkommande avstämningar med ledningen kring inriktning och resultat i informationssäkerhetsarbetet. Detta benämns i standarden ”ledningens genomgång”, läs mer om den i Följa upp och förbättra Ledningens genomgång.

Grundläggande informationssäkerhet

Grundläggande kunskaper om informationssäkerhet innefattar:

• vad informationssäkerhet är, att det inte endast handlar om it utan om all information, att det omfattar aspekterna konfidentialitet, riktighet och tillgänglighet,
• vad ett systematiskt informationssäkerhetsarbete innebär,
• konkret och praktisk kunskap om att hantera information, datorer, internet och sociala medier, mobiler med mera och att känna till och efterleva gällande regelverk.

Nyttor med informationssäkerhet

Motiv för informationssäkerhet formuleras ofta som problem – som hot, sårbarheter, risker och incidenter. Problemen kan istället formuleras som nyttor, vilka syftar till att bidra till att organisationen kan nå sina mål. Nyttor kan exempelvis kategoriseras så här:

• Efterlevnad av rättsliga krav
• Möjliggörande av digitala tjänster
• Minskade incidentkostnader
• Kvalitet, effektivitet och ordning och reda
• Förtroende och konkurrensförmåga

Den sistnämnda nyttan kan påverkas av de övriga nyttorna ovan som till exempel kan bidra till att organisationens varumärke och förtroende stärks. Vissa synliga satsningar på informationssäkerhet kan direkt verka förtroendehöjande, det kan handla om allt ifrån ett publicerat utdrag ur en informationssäkerhetsrevision till en implementerad säker betalningslösning,

Kunskap om organisationens informationssäkerhet

Ledningen behöver kontinuerligt uppdateras om hur tillståndet är gällande organisationens informationssäkerhet. Här är ett antal typiska områden som berör detta och som ledningen behöver hålla sig informerad om:

• Informationstillgångar. Vilka är de mest kritiska och känsliga informationstillgångarna i organisationen?
• Externa krav. Vilka lagkrav finns på organisationens informationssäkerhet? Vilka andra externa krav finns? Hur väl efterlever organisationen dessa?
• Risker. Vilka är de högsta informationssäkerhetsriskerna? Vilka risker är specifika för vår organisation, och vilka delas med samhället i stort och vår bransch/sektor?
• Skyddsnivå. Hur ser organisationens skyddsnivå ut? Är den tillräcklig eller finns allvarliga brister och sårbarheter? Har gapanalyser genomförts gentemot etablerade ramverk eller standarder som exempelvis ISO/IEC 27000?
• Incidenter. Har allvarliga incidenter inträffat, eller återkommer vissa incidenter ofta? Har incidenter inträffat hos samarbetspartners som till exempel it-leverantörer? Hur har incidenterna hanterats?
• Revisioner. Har informationssäkerhetsrelaterade revisioner genomförts? Vilka resultat har dessa gett, positivt och negativt?
• Säkerhetsmedvetenhet. Hur är medvetenheten om informationssäkerhet och risker med digitalisering och it-användning i organisationen? Hos medarbetare eller chefer generellt, inom särskilt viktiga funktioner såsom it-funktionen?
• Informationssäkerhetsarbetet. Hur arbetar man idag med informationssäkerhet i organisationen? Hur planerar och arbetar CISO för att organisationen ska arbeta mot ett systematiskt informationssäkerhetsarbete?

Svaren på dessa frågor är hela tiden i rörelse, och är färskvaror. Det är mycket upp till dig som CISO att ha koll på dessa tillstånd och att löpande informera ledningen (se nedan Kommunikation med ledningen).

Dialog med ledningen

Dialogen med ledningen bör ske på ett formellt och planerat sätt, men även i viss utsträckning på ett informellt och oplanerat plan. Det är viktigt att en öppen och ärlig relation med ledningen så att du som CISO inte drar dig för att spontant kontakta ledningen, vilket ibland kan vara mycket viktigt. Genom en löpande kontakt finns goda förutsättningar att upprätthålla relationen med ledningen.

Initialt, eller om det inte gjorts tidigare, bör du som CISO se till att ledningen och du själv har en gemensam strategisk målbild för organisationens informationssäkerhet. Det är viktigt att ni har samma bild av vart ni vill komma och vilken ambitionsnivå arbetet ska ha.

När ni har kommit överens om de strategiska målen kan ni diskutera vägen dit. Här är det viktigt att involvera de delar av organisationen som påverkas av dessa beslut. Det här handlar om till exempel årsvisa delmål och principiella tillvägagångssätt (såsom vilka roller och ansvar som ska finnas, om vissa ramverk och standarder ska tillämpas med mera). Som stöd i detta arbete kan metodstödets vägledning och verktyg för målgrafer användas (se Utforma Informationssäkerhetsmål). Det kan underlätta att modellera mål i visuell form, där det tydliggörs hur mål hänger ihop och hur de ska nås över kort och lång sikt.

De strategiska målen och de principiella arbetssätten formuleras sedan lämpligen i organisationens informationssäkerhetspolicy (se Utforma Styrdokument). Om mål och strategiska tillvägagångssätt och principer beslutas, publiceras och kommuniceras inom och utanför organisationen, så synliggörs dessa och det skapas bättre förutsättningar att nå målen och följa arbetssätten.

Läs mer om den löpande formella kommunikationen med ledningen i Följa upp och förbättra Ledningens genomgång.

Framtagning av information till ledningen

Framtagning av information till ledningen kan göras i samband med formella möten som ledningens genomgång, eller vid spontana möten och förfrågningar från ledningen. Mycket av den information och kunskap som ledningen bör vara intresserad av är de kunskapstyper som tagits upp i avsnittet Ledningens behov av information och kunskap ovan.

Mycket underlag kan hämtas från resultaten av de fyra typerna av analyser i metodstödets Identifiera och analysera Verksamhetsanalys, Omvärldsanalys, Riskanalys och Gapanalys. Andra källor till förändringar i organisationens förhållanden och förutsättningar kan vara resultat från revisioner, intern kontroll, mätningar, incidentrapporter, genomförda informationsklassningar och riskanalyser med mera.

Förändringar bevakas kontinuerligt av dig som CISO, du noterar dem och vidtar åtgärder vid behov. Du behöver löpande hålla ledningen underrättad om händelser och avvikelser som påverkar organisationens situation och förutsättningar, exempelvis nya lagförslag, förändrad riskbild eller inträffade incidenter. Resultat ska inte dyka upp som överraskningar vid ett planerat möte i slutet av en period.

Du som CISO vill alltid kunna svara på hur det står till med informationssäkerheten. Att organisationen ännu har obesvarade frågor står inte i vägen för det, sikta på att kunna svara på det ni som organisation vet – och vad ni ännu inte vet. Ett tips är att använda de enkla verktygen i metodstödet (se Verktygslådan under varje metodsteg) som grund för att ha en uppdaterad dokumentation över utvecklingen.

Presentationer för ledningen

Tiden för presentationer för ledningen är ofta mycket kort och ledningen befinner sig mitt i en strid ström av frågor som den på kort tid måste sätta sig in och ta ställning till eller besluta om. Det är därför en utmaning att få presentationen eller mötet effektivt och givande för alla. Här är några generella tips för presentationer för ledningar som kan användas vid ledningens genomgång (se Följa upp och förbättra Ledningens genomgång) eller i andra sammanhang:

• Förbered och planera noga. Tiden är som sagt ofta begränsad, och det gäller därför att förbereda presentationen noga och gärna öva i förväg. Viktigt är att lämna utrymme för frågor och diskussioner och att vara beredd på att ledningen kan vilja fördjupa en eller ett par frågor. Ta också hänsyn till mötesformen, storlek på bildskärm med mera så att presentationen syns och hörs ordentligt av samtliga.
• Anpassa efter målgruppen. Försök att ”tala ledningens språk”. Möt ledningen på dess kunskapsnivå och undvik tekniska termer och fördjupningar. Fokusera på verksamhetsnytta och använd begrepp som används i organisationen.
• Fokusera. I vissa fall är uppdraget att ge en allmän presentation om informationssäkerhet. Ibland kan det dock vara en fördel att fokusera på vissa delar av informationssäkerhet, eller att hänga upp presentationen på en särskild händelse som en incident eller en ny lagstiftning.
• Välj lämpligt format. Använd kända format och strukturer som är brukliga i organisationen som till exempel Powerpoint- eller Word-mallar. Avgör också om det endast ska vara en muntlig presentation med stöd av Powerpoint eller om den även ska kompletteras med en skriftlig rapport.
• Stäm av med ledningen innan. Ovanstående punkter bör om möjligt stämmas av med någon i ledningen så att presentationen motsvarar förväntningarna. Efterhand lär du dig hur ledningen vill ha information presenterad.
• Förstå och håll tider! Ha också en reservplan redo om den tid du fått kortas ned på grund av förseningar eller dylikt.
• Var tydlig och ärlig. Skönmåla inte, även om det kan kännas enkelt att säga det du tror att ledningen vill höra. Tveka inte att tydligt beskriva risker och brister om det verkligen behövs.
• Redovisa oklarheter. Osäkerheter finns runt det mesta inom området, exempelvis rörande risker, kostnader, tidsuppskattningar. Var noga med att redovisa osäkerheter istället för att gissa och ge illusionen av att uppskattningar är mer säkra än de är.
• Använd om möjligt alternativa presentationsformer. Om det finns tid, använd gärna presentationsformer som är illustrativa och som aktiverar och engagerar åhörarna. Det kan till exempel vara spel, övningar och scenarier som visar på konsekvenser för verksamheter, till exempel allvarliga och långvariga it-avbrott.

I avsnittet Att stötta en ledning som gör skillnad ovan tas fördelar upp med att samverka med andra relevanta roller i organisationen. Det kan innebära fördelar att göra det även vid specifika presentationer för ledningen, för att visa på gemensamma problem och behov och/eller att betona verksamhetsnyttan. Dessutom kan det vara både enklare och effektivare att få till ett möte där ni diskuterar gemensamt istället för två eller flera separata möten.