Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna. Jag välkomnar Maria Dunis ambition att belysa HR som en kraft i att bygga säkerhetskultur och stärka cybersäkerheten då det många gånger saknas medvetenhet om den starka kopplingen mellan dessa två olika områden, dock behöver tolkningsutrymmet som lämnas i artikeln några belysande perspektiv i […]
Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.
Jag välkomnar Maria Dunis ambition att belysa HR som en kraft i att bygga säkerhetskultur och stärka cybersäkerheten då det många gånger saknas medvetenhet om den starka kopplingen mellan dessa två olika områden, dock behöver tolkningsutrymmet som lämnas i artikeln några belysande perspektiv i min mening.
Jag skulle vilja börja med att lyfta vad cybersäkerhet är, enligt tolkningar av ENISA, EU och en rad andra auktoriteter, en harmoni mellan it-säkerhet, informationssäkerhet, lagkrav och
säkerhetskultur, vilket gör cybersäkerhet till en verksamhetsfråga. En verksamhetsfråga som bör ägas av exempelvis en CISO och som samordnat behöver drivas inom alla verksamheter i en organisation.
Jag efterfrågar därför ett mer lyft perspektiv som går längre än att bara fokusera på HR-funktionens roll. När det i artikeln till exempel uttrycks att ”HR-funktionen ska fokusera på
utbildningsinsatser för cybersäkerhet” och att ”HR kan stödja företagets arbete med att säkerställa att informations- och cybersäkerhetsarbetet följer tillämpliga lagar, förordningar och branschstandarder” så kan det lätt tolkas som att de ska ta över ett ansvar som åligger någon annan. Självklart är det essentiellt att dessa frågor har en tydlig plats i hela kedjan av on- re- och off-boardning, varför HR blir en nyckelpart att samverka med för exempelvis en CISO. Så om vi lägger fokus på det stödjande som Maria Duni skriver så håller jag med,
men det behöver tydligare framgå att det ska styras och samordnas från CISO och inte är något HR ska driva själva.
Det finns många gånger, framför allt i mindre organisationer, en otydlig bild kring vad en HR avdelning är och bör vara ansvariga för och det blir lätt luddiga gränsytor mot andra verksamhetsansvar och personalansvarsytor.
HR har sina kompetensområden där de är experter och utifrån detta behöver dem söka samverkan och integrera sina processer och kunskaper gentemot andra områden i verksamheten. På samma sätt behöver vi se på cybersäkerhetsfrågan, många behöver involveras och bidra utifrån sina expertkompetenser och ägandeskapet över relevanta processer, men ansvaret behöver tydligt fortfarande ligga kvar på rätt funktion.
Som CISO eller liknande roll bör den typ av samverkan som lyfts gentemot HR vara en naturlig yta för att gemensamt stärka förmågan att bygga säkerhetskultur. På samma sätt bör personalansvariga chefer vara en ytterligare primär samverkansyta och viktiga ambassadörer för att levandegöra säkerhetskultur och viljan till efterlevnad. Ytterligare viktiga samverkansytor är såklart ledning eftersom de till det yttersta bär ansvar och sätter tonen för hur viktiga dessa frågor anses vara i organisationen. Juristkompetens och
samverkan mot en sådan yta är ytterligare ett perspektiv som verkligen inte ska förringas eller glömmas bort.
Beroende på hur organisationen har strukturerat upp ansvarsfördelning mellan Säkerhets,- it- och informationssäkerhetsfrågorna så torde det vara den första prioriterade samverkansytan då alla dessa delar gemensamt behöver bygga grunden för ett fungerande cybersäkerhetsarbete.
Cybersäkerhet är en tvärsektoriell verksamhetsfråga som kräver tydlig samordning och ledning i kombination med väl fungerande samverkan med alla organisationens stödfunktioner och kärnverksamheter, något en kompetent CISO tar fasta på och verkar
utifrån.
Min poäng här, lägg inte över ansvar så som jag uppfattar att det uttrycks i artikeln, för varken säkerhetsavdelning eller CISO omnämns, utan jobba med samverkan och ta stöd av varandra så varje enhet/ avdelning gör de dem är bäst på. Då finns det kraft att hämta och skillnad att göra.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
