Att en organisation ska uppfylla de externa krav som ställs på den är självklart. Sådana krav kommer från landets författning (i Sverige från lag, förordning och föreskrift), från de avtal organisationen ingått och från de direktiv ägarna lämnat i bolagsordning och/eller instruktioner.
Det finns en (operativ) risk att externa krav inte uppfylls av organisationen. För att undvika det hanteras kraven i organisationens processer, och för att det ska bli så måste kraven vara kända av de processansvariga.
Ett bra hjälpmedel för att sprida och tolka de externa kraven, och för att distribuera kompletterande krav och önskemål, är interna styrdokument – policies, instruktioner, guidelines och liknande.
Framför allt vill ledningen använda styrdokumenten för att minska risken att organisationens mål inte uppnås inom de ramar som organisationen kan och får röra sig inom.
Är organisationen säker om den är uppfyller externa krav? Nej, inte nödvändigtvis. Externa krav är sällan så detaljerade att risken för oacceptabel skada är försumbar bara för att man följer kraven. Därför behöver kraven kompletteras innan man kan börja tala om en säker organisation.
I interna styrdokument kan ledningen ha tagit hänsyn till standarder och best practices, t ex PCI-DSS, OWASP Top 10 och diverse andra organisationers checklistor för säkerhet. Att följa standarder kan krävas enligt avtal, som exempelvis brukar vara fallet med PCI-DSS. Men oftast hänvisar ledningen till standard och best practice för att det är i linje med hur ledningen vill styra verksamheten.
Men är organisationen säker om man följer standard och best practice? Kanske, men sannolikt inte. Och det kan bli onödigt dyrt. Om standard och best practice inte ger det skydd organisationen faktiskt behöver mot de verkliga hoten och sårbarheterna finns säkerhetshålen kvar. Och om standard och best practice skyddar mot hot och sårbarheter som inte är relevanta för organisationen kostar det för mycket.
Därför redovisar man normalt i styrdokumenten hur säkerhetsarbetet ska bedrivas. Ledningens egen riskbedömning är utgångspunkten, och styrdokumenten anger på vilket sätt processägarna ska agera, t ex genom egna riskbedömningar och därav följande skyddsåtgärder, för att säkerställa att man når målen samtidigt som man uppfyller ställda krav.
Säkerhetsarbetet, med riskanalyser, åtgärdsplaner, aktiviteter, mätning och uppföljning, är således en liten men väsentlig komponent i arbetet med att hålla organisationens risker på acceptabel nivå, dvs. för att begränsa oönskade händelsers förmåga att leda till oacceptabla konsekvenser.
Inga kommentarer:
Skicka en kommentar