Hur äter man en elefant – eller fördelen med riskbaserat arbetssätt

Det finns många sätt att möta vardagen och den allt mer komplexa och osäkra omvärlden. Vår erfarenhet är att säkerhetsarbetet ofta tenderar blida ett eget ekosystem i en organisation, inte en del av organisationens ekosystem. Det blir ofta något som ska lösas i isolation av just vardagen, leveransen, verksamheten och målen. Antingen blir allt ett hot och nästan allt behöver skyddas, eller så är det något som upplevs som onödiga restriktioner, svårt och obegripligt. Det bildas reservat där idéer får slå rot och frodas. Skyddat från såväl vardagen, morgondagen men framförallt från verksamheten. Det ger sannolikt inte den effekt man eftersträvar men är förmodligen en helt naturlig reaktion när något komplext, stort och ibland obegripligt måste bemötas och hanteras. Vi vill ändå hävda att det går att få effekt. Det går att bedriva verksamhet OCH skydda det skyddsvärda. Det stannar inte bara där för det kommer till och med bli lönsamt! Bara man vågar lyfta blicken från hot till verksamhet, identifiera konsekvenser för verksamheten och bestämma vilka av konsekvenser som vi får alternativt kan acceptera och därifrån strukturer det fortsatta arbetet. Lite som att äta en elefant; man får ta en liten bit i taget!

Att förutse samhälls- och omvärldsutvecklingen blir för vårt samhälle med slimmade och effektiva leveranser en allt viktigare men också svårare uppgift. En affärsmodell som igår genererade miljoner, kan i morgon sjunka som ett skepp. En viktig medicin som igår fanns på lager någonstans i Sverige, finns idag som en slags imaginär produkt vars tillgång för dig och mig är beroende av att en server på andra sidan jordklotet fungerar. Underhållet av landets infrastruktur måste effektiviseras för att det ska finnas en rimlig chans att möta morgondagens krav samtidigt som oron för kartläggning från främmande stat snabbt kan innebära konsekvenser som verksamheten inte kan eller vill hantera.

Vi har tidigare här på Basalts hemsida skrivit om hur utvecklingstakten under de senaste årtiondena har ökat exponentiellt, att riskerna transformeras och osäkerheterna ökar genom bland annat ny teknik och en ökad komplexitet i samhällets strukturer. Det här är viktigt att bottna i när man sätter upp krav på hur en verksamhet ska hantera de risker och osäkerheter som är förenade med organisationens förmåga att leverera åtaganden och möta förväntningar. Det gör man med stöd av risk- och konsekvensanalyser. Dessa syftar till att avväga rätt skyddsnivå i alla delar av verksamheten (som man väljer att analysera). När man gjort det kan man motivera såväl skyddsnivå som investeringar och utbildningsinsatser. Detta riskbaserade synsätt är grunden i de standardiserade ledningssystem som idag finns. Några är generella så som det för kvalitetsledning och vissa är mer specifika som exempelvis de för informationssäkerhet och kontinuitetshantering.

Basalt skapar hållbara lösningar som stödjer kunder att sortera och prioritera sin verksamhet utifrån ett riskbaserat synsätt. Våra lösningar bistår verksamheter att identifiera och vägleda vilken skyddsnivå verksamheter, verksamhetsdelar och/eller tekniska system behöver och vilka åtgärder som måste till för att upprätthålla fastställd skyddsnivå. Åtgärderna kan sorteras in i såväl produkter, tjänster som system. Det kan handla om åtgärder inom informationssäkerhet, riskhantering, riskvärdering, kontinuitetshantering, avbrottsplaner, säkerhetsskydd- och/eller IT-säkerhet.