Helhedsorienteret informationssikkerhed og risikostyring

Udfordring

Kunden er ansvarlig for kritisk infrastruktur og opererer med et komplekst IT/OT-miljø med høje krav til sikkerhed, robusthed og compliance. Over en længere periode havde organisationen behov for at styrke sin informationssikkerhed og risikostyring på tværs af fire centrale indsatsområder: kortlægning af forretningskritiske processer og teknologier ved worst-case-hændelser, styring af tredjeparts- og leverandørrisici i forsyningskæden, organisering af beredskab og hændelseshåndtering samt etablering af et datadrevet risikobillede for ledelsen. Udfordringen var ikke blot teknisk, det krævede tværorganisatorisk forankring, klar governance og systematiske metoder, der kunne løfte sikkerhedsmodenheden i en organisation, der aldrig kan tillade nedetid.

Tilgang

Vi arbejdede på tværs af alle fire indsatsområder som faglig rådgiver og leverancepartner. Vi gennemførte en omfattende Business Impact Analysis baseret på cirka 100 interviews, der kortlagde, hvilke processer og teknologier der var forbundet med de højeste risici og potentielle konsekvenser. Parallelt etablerede vi et rammeværk for leverandørstyring, med metoder og praktiske værktøjer til at vurdere risici og stille sikkerhedskrav til leverandører af essentielle systemer i kritisk infrastruktur. Vi understøttede organiseringen af kundens IR/CSIRT-struktur og beredskab ved at styrke governance, processer og ansvarsfordeling på tværs af tekniske og forretningsmæssige domæner, herunder forretningskontinuitet (BCM). Endelig udviklede vi metoder og BI-baserede værktøjer til systematisk risikovurdering og rapportering, der gav ledelsen et klart og datadrevet grundlag for prioritering og mitigering af udfordringer i it-driften.

Værdi

• Kunden fik et sammenhængende sikkerhedsfundament med et klart beslutningsgrundlag, governance og beredskabsprocesser på tværs af organisation og leverandørkæde.
• Sikkerhedsmodenheden blev løftet systematisk - fra risikokortlægning og leverandørstyring til hændelseshåndtering og datadrevet risikobillede for ledelsen.
• Sikkerhedstiltag blev forankret i eksisterende arbejdsgange, så organisationen kan håndtere og mitigere risici som en integreret del af driften.