Cybersäkerhet och GDPR - VD:s tråkigaste uppgifter?
Cybersäkerhet och GDPR är möjligtvis inte de roligaste frågorna för en VD, men de kan mycket väl vara de viktigaste uppgifterna som landar hos VD just nu. Vi tänker berätta en historia om Pernilla som är VD i ett medelstort expansivt företag i konsultbranschen som fick den heta potatisen i knät. Hur det gick till och vad hon gjorde kan du läsa mer om nedan.
Den tidigare VD:n hanterade GDPR-projektet 2018 och sedan Pernilla tillträdde har det varit hennes uppfattning att GDPR-frågan är ett avklarat kapitel. Cybersäkerhet har dock varit på bordet ett flertal gånger de senaste åren. Men då man köpt de flesta IT-lösningarna som moln-tjänster och på det stora hela följt de rekommendationer man fått från respektive leverantör så upplever sig Pernilla leva i en trygg värld, förvissad om att man har tillräcklig cybersäkerhet.
På senaste styrelsemötet tog den nya ledamoten upp frågan om huruvida man följer GDPR och vilka åtgärder man vidtar för att löpande säkerställa tillräcklig cybersäkerhet.
Pernilla hade egentligen inte något konkret svar på dessa frågor och fick därför i uppgift att undersöka lagefterlevnaden och statusen på cybersäkerheten.
Vem ska hantera dessa frågor?
Pernillas bolag har inte byggt upp en IT-avdelning och har heller inte någon GDPR- eller säkerhetsexpert inom organisationen. Det närmaste hon kan komma är de olika IT-leverantörerna, men dom är bara intresserade av att diskutera de produkter och tjänster som dom själva levererar. Hon hittade också namnet på konsultföretaget som hjälpte till med GDPR-projektet. Den aktuella konsulten hade dock slutat och arbetar idag med andra uppgifter på ett stort läkemedelsbolag.
Efter eget analysarbete så får hon fram att informationssäkerhet och GDPR har en hel del gemensamt. Hon får också fram att ansvaret för säkerhet inte kan läggas ut, eg. man måste ha en egen uppfattning om vilken risknivå man är beredd att acceptera och vilka åtgärder man prioriterar att investera i för att minska riskerna. En ännu intressantare upptäckt är att informationssäkerhet uppenbarligen inte bara handlar om tekniska lösningar, utan lika mycket om människor och rutiner.
Principerna för GDPR är liknande vad gäller säkerhetsåtgärder. Lagen stipulerar inte vilka tekniska, organisatoriska eller processorienterade åtgärder som måste vidtas. Dock måste åtgärderna kunna motiveras och påvisas. Suck. Återstår då att hitta konsulter som kan bistå i detta arbete.
Pernilla inser också att arbetet med informationssäkerhet och även GDPR är en kontinuerlig resa med rörliga mål. Det gäller alltså både att komma till en tillfredställande nivå och sedan säkerställa att man håller sig kvar där. Som chef för ett konsultföretag är hon väl införstådd med att det är bättre att använda experter än att försöka skapa en egen intern roll som på deltid skall manövrera dessa komplexa områden. Dock måste hon säkerställa en tillräcklig kunskap inom organisationen för att bli en bra beställare och för att kunna ta ansvar för de lösningar som implementeras.
Hur kan Cegal hjälpa Pernilla med Cybersäkerhet och GDPR?
Eftersom GDPR är en lag så rekommenderar vi Pernilla först och främst att göra en GDPR health check som svarar på frågan hur GDPR-efterlevnaden ser ut idag och utifrån eventuella brister skapa en prioriterad åtgärdslista. Då cybersäkerhet också ligger på bordet så är det en fördel att göra en analys avseende ledning och styrning av cybersäkerheten (Cegal Cyber security assessment) parallellt. De åtgärdsförslag som kommer ur dessa analyser samkörs för att skapa ett gemensamt prioriteringsunderlag och för att utvinna så många synergier som möjligt vid genomförande av åtgärder.
För att därefter säkerställa ett över tid systematiskt arbete erbjuder även Cegal skräddarsydda tjänster. Dels för att säkerställa GDPR-efterlevnad och dels för löpande arbete med att säkerställa och förbättra cybersäkerheten (DPO-as-a-Service).
Kontakta oss på Cegal för mer information om hur er organisation kan hantera GDPR-frågor och cybersäkerhet effektivare och säkrare.
