Governance, eller styrning, handlar om att skapa riktning, ansvar och sammanhang. Framgångsrikt cybersäkerhetsarbete är inte något som händer i brandväggen eller i molntjänsten, utan i ledningsrummet. Där avgörs vad som ska skyddas varför det är viktigt, och vem som är ansvarig.
NIST (National Institute of Standards and Technology) är ett amerikanskt standardiseringsorgan vars cybersäkerhetsramverk används globalt som vägledning för att bygga upp, hantera och förbättra säkerhetsarbete i organisationer. Att ramverket numera inkluderar governance som en separat funktion signalerar något viktigt: det räcker inte med att bygga ett tekniskt försvar. Vi behöver också etablera och underhålla en organisatorisk motståndskraft.
I praktiken innebär det att:
- Affärsmål och säkerhetsstrategi behöver hänga ihop.
- Roller, ansvar och beslutsvägar ska vara tydliga, både i det operativa och i ledningen.
- Organisationen måste följa lagar och policyer, och dokumentera varför man gör som man gör.
- Riskbedömningar ska vara en del av affärsbesluten och inte något som IT skickar in i efterhand.
- Säkerhetskulturen behöver bäras av hela organisationen: från ledningsgrupp till vardagsbeslut.
NIS2 lägger ansvaret där det hör hemma
I och med NIS2 har governance också fått tydligare tänder. Ansvar kan inte längre delegeras bort. Den som sitter i ledningen för en samhällsviktig organisation kan hållas personligt ansvarig om man brister i sitt ansvar för cybersäkerhet. Det skapar en ny typ av brådska. Men också en ny möjlighet. För det är när styrning, struktur och kultur hänger ihop som säkerhetsarbetet faktiskt får genomslag. Och det är här governance blir ett verktyg, och inte en börda.
NIST:s andra funktioner – Identify, Protect, Detect, Respond, Recover – handlar om vad vi gör. Govern handlar om hur vi håller ihop det. Om Protect är att låsa dörren, så är Govern att avgöra vilken dörr som ska låsas, vem som har nyckeln och hur vi följer upp om låset fungerar. Den som lyckas med governance har en organisation där säkerhetsarbetet inte bygger på hjältar, utan på tydliga ramar, levande strategier och en kultur där det är självklart att ta ansvar.
