3 skridt til at gøre GRC, informationssikkerhed og databeskyttelse strategisk

Problemet: GRC er et cost center

Når databeskyttelse, informationssikkerhed og GRC ikke er alignet med forretningsstrategien, bliver initiativerne primært betragtet som en omkostning. Og omkostningerne forsøger virksomheder og organisationer at minimere. 

Derfor mangler mange GRC-programmer ressourcer (penge og ansatte), og undersøgelser viser da også, at virksomheder i EU underinvesterer i cybersikkerhed.

Løsningen: GRC skal understøtte forretningsstrategien

Løsningen ligger lige for. Vi skal sikre, at ledelsen og vores kollegaer ser GRC, databeskyttelse og informationssikkerhed som noget, der hjælper med at nå organisationens mål.

Men hvordan?

Her er de 3 nødvendige skridt.

Skridt 1: Forstå forretningsstrategien

Først og fremmest er du selv nødt til at forstå forretningsstrategien. Men hvad er forretningsstrategien egentlig?

I mange organisationer kan du finde lange, fine beskrivelser af missioner, visioner og værdier. De bringer dig bare ikke ret langt.

Det, du skal fokusere på, er de helt konkrete mål, som din virksomhed (og sikker i høj grad ledelsen) forsøger at opnå.

Det kan være:

• Øget salg
• Nye markeder
• Forbedre kundetilfredsheden
• Udvikle medarbejderne

I de fleste virksomheder er det lidt sværere at finde den type konkrete målsætninger skrevet ned og samlet. Derfor skal du forberede dig på en masse samtaler med ledelse og afdelinger for at forstå målsætninger. 

Det er tid givet godt ud.

Et godt råd: Sørg for at skrive målsætningerne ned, så du har overblikket. 

Skridt 2: Hvordan kan GRC understøtte forretningsstrategien?

Den næste opgave er at reflektere over, hvordan compliance- og risikoarbejdet kan hjælpe med at nå målene.

Lad os tage nogle eksempler:

• Understøtte salgsarbejdet: Et godt og veldokumenteret GRC-program er med til at bygge tillid hos kunderne. Helt konkret kan det hjælpe med at forkorte salgscyklussen, fordi kunderne hurtigt bliver sikre på, at deres nye leverandør har styr på sikkerheden (eksempelvis). Det gør det også væsentligt nemmere at komme igennem leverandørtilsyn eller gøre sig på regulerede markeder.
• Reducere risiko: Når man har et centralt overblik over risici, kan man identificere dem hurtigt og løse problemerne tidligt. Langt de fleste virksomheder har et mål om at undgå risici.
• Troværdighed: God informationssikkerhed og databeskyttelse kan også være med til at bygge tillid hos andre stakeholdere end kunder. Det kan investorer, som ofte vil bedømme en virksomheds modenhed på, om de har god governance og styr på deres risici.
  

Det her er blot eksempler. Det er selvfølgelig vigtigt, at du aligner med dit GRC-program med de konkrete strategiske mål i din organisation.

Vi hjælpe dig gerne med konkret at finde de her sammenhænge. Se vores kurser og workshops her.

Skridt 3: Kommunikation er nøglen til forståelse

Når du har styr på, hvordan du understøtter de strategiske mål, skal de kommunikeres - til ledelsen og dine kollegaer.

Det vigtige er at få struktur på det, så du løbende får lejlighed til at vise GRC-programmets resultater.

Du kan finde inspiration til en kommunikationsplan i denne masterclass (på engelsk).

Den handler om:

• Hvordan man sikrer buy-in fra ledelsen og 
• Hvordan man sørger for, at hele organisationen er opmærksom på værdien af databeskyttelse og informationssikkerhed.

‍