Reell (compliance) risk
Den største utfordringen med 'compliance risk' er ikke risikoen for å bli tatt med buksene nede, men kostnaden ved å holde dem oppe.
Et humoristisk bilde av en høyst alvorlig situasjon: Armert med historier i media og rapporter fra 'kyndig ekspertise', blir toppledere så 'hekta på' compliance risk at de bokstavelig talt bruker opp hele (forsvars-)budsjettet på ryggdekning fremfor reell personsikkerhet og cyberforsvar.
Problemet er høyst reelt både 'hjemme på berget' og i andre deler av verden. Skremselshistoriene i media, GDPR, Schrems II, Datatilsynet og tilsvarende får styrerom og toppledere til å se seg fortvilet rundt etter beroligende ekspertise. I og for seg en sunn reaksjon, men med en vesentlig hake: De søker trygghet, men ikke forståelse. Tiltakene blir deretter. Trygghet kjøpes i stedet for å bygges, forståelsen uteblir. Det blir dyrt – og lite effektivt. I mange tilfeller skadelig for virksomheten som i stedet for å utnytte digitale muligheter, gjemmer seg bak juridiske betenkninger som kanskje er subjektivt riktige, men sjelden evaluerer helheten.
Vi har diskutert utfordringene rundt 'moderne' personvern tidligere (se Datatilsynet skremmer … og Data is the new sand), og situasjonen er ikke blitt bedre over tid. Riktignok kommer det stadig ny dokumentasjon og veiledninger fra EU og andre kilder, løpende og positivt formidlet til norske teknologimiljøer via jurister som Føyen og Sandtrø, men det hjelper bare litt. Fordi for få (topp)ledere prioriterer å forstå utfordringene. Ikke jussen, ikke teknologien, men business-sidene og konsekvensene. For sammen med grunnleggende forståelse kommer sunn fornuft 'til anvendelse', som juristene sier. Da blir det mulig med kreative diskusjoner i forhold til muligheter i stedet for defensive tiltak for å være på den sikre siden. På toppen av det hele – ingen vet hva som egentlig er 'den sikre siden'. Selv jurister kaller regelverket for 'utydelig'. Ingen rettskraftige dommer finnes, ikke i Norge, ikke utenfor. Helt ærlig, situasjonen inviterer ikke til 'på den sikre siden', men til å utfordre tvetydigheter med sunn fornuft. Ingen skaper god business uten å ta risiko, dette er i realiteten av den beskjedne varianten. For ansvarlige og offensive ledere – som har tatt seg tid til å forstå hva det handler om.
Vårt poeng i denne runden er den andre siden av compliance risk – den usynlige konsekvensen av feilfokuseringen ovenfor: Cyberforsvaret lider. Håndtering av compliance risk og cyberforsvar kommer som regel fra samme pott, samme budsjett-post. Og når ledelsen velger å kjøpe 'blind compliance-trygghet' for ressurser som skulle gått til forsvar og sikkerhet, er resultatet innlysende.
Vi har en jobb å gjøre: Splitte budsjettene er det første. Formidle forståelse til ledere på alle nivåer – om den akutte cybervirkeligheten og de ofte ganske teoretiske regulatoriske utfordringene, er det andre. Compliance-utfordringene er reelle nok og krever definitivt både ressurser og oppmerksomhet, men ikke på bekostning av sikring og forsvar. Den brutale virkeligheten er - lett omskrevet - at mens vi forhandler en mulig fredsavtale, taper vi krigen. Det er ikke meningsfylt.
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.