Hvem skal følge opp risiko? - KPMG Norge
close
Share with your friends

Hvem skal følge opp risiko?

Hvem skal følge opp risiko?

Hvem har egentlig ansvaret for håndtering av risiko innenfor informasjonssikkerhet, og hvordan skal ledelsen og styret få uavhengige vurderinger av dette arbeidet?

1000

Kontaktperson

Partner, Advisory

KPMG i Norge

Kontakt

Relatert innhold

Mann som står i et serverrom

I vårt arbeid med å bistå kunder med overordnede og strategiske risikovurderinger ser vi at risiko knyttet til informasjonssikkerhet havner øverst på listen. Det bidrar til at informasjon ofte forankres i toppledelsen, og dermed også får en tettere oppfølging. Men når vi stiller spørsmål om hvordan risikoen håndteres, hvem som er ansvarlig og hvor god håndteringen er, får vi flakkende blikk, en vag formulering om et pågående forbedringsprosjekt, eller en henvisning til IT-sjefen.

Selv om endringer skjer fort og nye risikoer stadig blir identifisert, bør risikohåndteringen være tydelig og innen fastlagte rammer. I denne sammenheng benytter vi ofte begrepet «linjeforsvar». Linjeforsvaret sier noe roller og ansvar i en effektiv risikostyring og deles inn i tre forsvarslinjer;

Førstelinje består av den operative ledelsen og de ansatte, herunder også IT-avdelingen. De defineres som risikoeiere og håndterer risiko i det daglige arbeidet. Ofte ender oppfølgingen av risikoarbeidet for informasjonssikkerhet her.

Andrelinje kan være risiko og compliance-funksjoner som for eksempel bistår IT-avdelingen med å rapportere risiko og vurderer om bruk av PC-utstyr blir benyttet i henhold til interne rutiner. Andrelinjefunksjoner etableres for å sikre at førstelinjen fungerer optimalt, og selv om andrelinjefunksjonene har en viss grad av uavhengighet fra linjen, er de allikevel ledelsesfunksjoner.

Tredjelinje er internrevisjonen som kan bidra med å øke informasjonssikkerheten på flere måter. Informasjonssikkerhet bør jevnlig stå i revisjonsplanen, og denne funksjonen kan, og bør, bistå med blant annet:

  • Fasilitere og gjennomføre egne risikovurderinger av informasjonssikkerhetsprosesser.
  • Evaluere eksisterende prosesser for å sikre at nye trusler blir håndtert på en god måte.
  • Vurdere implementering av nye modeller og tekniske løsninger for informasjonssikkerhet, for eksempel løsninger for kryptering av data ut av nettverket.
  • Vurdere tredjepartsleverandører av sikkerhet for å besørge en god håndtering av de mest aktuelle risikoene.

Det er essensielt at alle de tre forsvarslinjene er involvert i arbeidet med informasjonssikkerhet, for så hindre at ansvaret faller mellom to stoler.

Figuren under illustrerer disse tre forsvarslinjene:

Modell: Forsvarslinjer i en organisasjon

Forsvarslinjer i en organisasjon

Forfatter:
Magnus Digernes, senior manager

Ta kontakt

 

Ønsker du tjenester fra KPMG?

 

Be om tilbud