FCG / Erbjudande / Aktuella ämnen / IT och informationssäkerhet

IT och informationssäkerhet


De regulatoriska kraven vad gäller hantering av IT har de senaste åren blivit allt mer detaljerade och mer omfattande i takt med att branschen blivit mer och mer beroende av IT och systemstöd. I nuläget är det få affärsområden och produkter som inte är beroende av IT-stöd och antalet minskar i snabb takt. Detta ställer krav på IT när det kommer till lönsamhet, säkerhet och effektivitet. Klyftan mellan affärsverksamheten och IT-verksamheten måste därför bli mindre och förståelsen mellan dem måste öka. IT-verksamheten måste lära sig kommunicera på affärsverksamhetens villkor och vise versa. FCG:s tjänster inom IT fokuserar därför på hur IT-verksamheten kan bidra till affärsverksamheten och leverera värde, skydd för affären samtidigt som de regulatoriska kraven uppfylls.

Problem vi ser idag inom IT

Insyn och kontroll: Idag är IT avdelningar fortfarande ganska mycket av en ”black box” hos våra kunder. Ledningen och styrelsen har svårt att penetrera den tekniska jargongen inom IT. I regelverken ser vi en tydlig ambitionsnivå att både ledningen och styrelsen önskar utöka sin kunskap och förstå IT mycket bättre för att kunna styra över området.

IT-styrning: Sverige ligger idag ganska långt efter sina europeiska kolleger inom området IT-styrning. Sverige har en enorm innovationskraft vad gäller IT-området men insynen och kontroll från ledning och styrelse är bristfällig.

IT-styrning kan vidare ses som en försäkring mot den utsattheten som CIO-rollen (IT-chef) traditionellt har inom instituten. IT-styrning erbjuder ett forum för CIO att fastställa och förankra de aktiviteter som genomförs inom IT tillsammans med ledning och styrelse. Detta genom att skapa en gemensam vokabulär mellan IT och ledning/styrelse.

IT- och Informationssäkerhet: IT-säkerhet som begrepp har funnits i många år, även Informationssäkerhet är ett etablerat begrepp. Expertisen har tidigare funnits hos myndigheter och större finansiella aktörer men de nya regelverken ställer nu även hårda krav mot mindre och medelstora aktörer. Säkerhet uppfattas generellt som ett hinder för verksamheten, inte minst vad gäller IT-säkerhet. Vi ser inte säkerhet som något som bör begränsa verksamheten, tvärt om. Att kunna förlita sig på sitt IT-stöd och genom effektiv hantering och skydd av den ska IT-verksamheten bidra till lönsammare affärer. 

Hur?

Idag finns ett antal ramverk och standarder som kan hjälpa till att öka effektivitet, riskhantering, säkerhet och kontroll av IT. Nyckeln till framgång tror vi är att kombinera dessa standarder och ramverk för att kunna anpassa IT-styrning och IT- Informationssäkerheten till en struktur som passar vår kunds affärsverksamhet, intern styrning, kontrollramverk och riskhantering. Vårt mål är att skräddarsy en lösning som passar er verksamhet.

Mognadsmätning är ett effektivt sätt för att hitta rätt ambitionsnivå med arbetet inom IT, ett verktyg för att prioritera och planera förbättrande åtgärder och struktur. När mognadsnivån är rätt så minskar avståndet mellan affärsverksamheten och IT-verksamheten, det uppstår ett samspel istället för motarbetning. Varje uppdrag vi utför inom IT inleds med en mognadsmätning.

Här följer några av de vanligaste ramverken och standarder som vi arbetar med:

  • Cobit – ett ramverk som inkluderar samtliga dimensioner av IT. Cobit 5 bygger på en tydlig koppling mellan affärsverksamhetens mål och IT-verksamhetens mål.
  • ISO/IEC 2700x – en global standard för informationssäkerhet som bygger på Demming-cykeln (PDCA) och adresserar 10 övergripande säkerhetsområden.
  • ITIL – står för IT Infrastructure Library och är en branschspecifik Best practice (eller good practise) för den konkreta dagliga hanteringen av de interna processerna inom IT-avdelningen.

Vill du veta mer?

Fredrik Ohlsson

Partner & Team Leader

Risk

+46 72 179 49 51

fredrik.ohlsson@fcg.se