Fire steg for å rapportere godt på cyberrisiko
– Å være god på risikorapportering krever involvering fra alle i virksomheten og gode verktøy. Premien er bedre kontroll og økt sikkerhet mot hacking, sier Eirik Horpestad, ekspert på risikorapportering i PwC. Her er hans fire tips.
– Risiko er ikke bare et verktøy for å unngå det farlige. Det gir ledelsen innsikt til å ta de riktige beslutningene, sier cyberekspertene Eirik Horpestad og Margrethe Rønning.
God risikorapportering gjør at ledelsen tar bedre avgjørelser
Risikorapportering handler om hvordan virksomhetens risikoer kommuniseres og presenteres for ulike interessenter. Det handler både om de mest alvorlige og tidskritiske risikoene. Og det handler om nye risikoer som bør overvåkes. –Manglende rutiner for rapportering av risikoer kan føre til at sårbarheter ikke håndteres raskt og i verste fall et alvorlig cyber-angrep, sier Horpestad.
Riktig teknologi er viktig. – Automatisering med riktig GRC(Governance, Risk, and Compliance)-verktøy kan gjøre at bedriften sparer penger og får mer effektive styringsprosesser. De kan sammenkoble data på tvers og det blir lettere å monitorere, sier Kim Røed, som jobber med GRC i PwC.
Risikorapportering handler om god kommunikasjon
Risiko oppdages og styres på ulike nivåer i virksomheten. På et operasjonelt nivå er det som regel behov for å identifisere risiko på et detaljert nivå. På et strategisk nivå er det en vurdering av det helhetlige risikobildet. Arbeidet må gjøres på tvers av virksomhetens forretningsenheter.
Ledelsen og linjeledere får et godt grunnlag for å ta beslutninger for sentrale risikoer for informasjonssikkerhet og personvern i kritiske prosjekter, leverandører og prosesser.
Hvem skal motta informasjonen og hva?
Gjør en interessentanalyse for å kartlegge hvem som trenger informasjon for å kunne gjøre jobben sin, og som kan bidra til å ta ned risiko for virksomheten. Som et ledd i dette bør det også kartlegges hva som skal rapporteres til de ulike interessentene.
Er kvaliteten på informasjonen bra nok?
Ta en gjennomgang av datagrunnlaget som brukes for rapporteringen - er det komplett? Har man de viktigste og mest nyttige tallene tilgjengelig? Er kilden til å stole på? Mangler det noe? Rapporteringen bør baseres på et så solid datagrunnlag som mulig.
Hva gjør man med informasjonen?
Hva betyr informasjonen for virksomheten, og hva skal man gjøre med den? Vurder hva slags innsikt informasjonen gir, og vurder om det er tilstrekkelig. Risikoinformasjon som ikke brukes til noe har ingen verdi. Virksomheten må derfor sørge for at informasjonen inneholder det man får bruk for, og i neste omgang avgjør hvordan man skal forholde seg til den.
Bruk rapporteringen som et reelt verktøy
Lag en effektiv rapportering så det blir et reelt verktøy både for planlegging og for avgjørelser, på operasjonelt, taktisk og strategisk nivå.
Margrethe Rønning
Direktør | Cyber Trust Advisory, PwC Norway