Från regelefterlevnad till resiliens: så kan CISO:er åtgärda styrningsglappet
Larmet klockan 03:00: ett styrningsfel i förklädnad
Maria, CISO på ett snabbväxande fintechbolag, väcktes abrupt av ett P1-larm. En produktionsdatabas, som skulle vara isolerad, kommunicerade med en okänd extern IP-adress. Hennes SOC-team var redan inkopplat och spårade anslutningen till en felkonfigurerad lagringsbucket i molnet som hade skapats av ett marknadsanalysteam som testade ett nytt verktyg för kundsegmentering. Den omedelbara skadan begränsades, men efterincidentgranskningen visade ett betydligt farligare problem – ett problem som inte hade något med brandväggar eller skadlig kod att göra.
Marknadschefen som beställde verktyget omfattades inte av någon formell säkerhetstillsyn. DevOps-ingenjören som satte upp miljön kringgick standardiserade säkerhetskontroller för att klara en snäv tidsfrist. Data i bucketen var visserligen anonymiserade, men tillräckligt känsliga för att utlösa avtalsbaserade aviseringsklausuler gentemot flera nyckelkunder.
Rotorsaken var inte en teknisk sårbarhet. Det var ett allvarligt styrningsfel. Maria hade policyer, verktyg och ett kompetent team. Det hon saknade var ett styrningsramverk som var levande, tillämpat och förstått även utanför säkerhetsfunktionen. Företaget var efterlevande på papperet, med ett ISO/IEC 27001:2022-certifikat som fortfarande glänste på väggen, men det var inte resilient i praktiken.
Detta är det kritiska glapp där många organisationer, och deras CISO:er, faller. De blandar ihop styrningens artefakter – policyerna och checklistorna – med styrningen i sig. Den här artikeln visar var detta tankesätt brister och ger en konkret färdplan för att omvandla efterlevnad på papperet till uthållig verksamhetsstyrning med hjälp av Clarysecs integrerade verktygslåda.
Bortom pärmen: att omdefiniera styrning som handling
Alltför länge har styrning behandlats som ett substantiv: en statisk samling dokument som ligger lagrade på en server. Verklig styrning av informationssäkerhet är däremot en handling. Den består av de kontinuerliga åtgärder som ledningen vidtar för att leda, övervaka och stödja säkerhet som en kärnfunktion i verksamheten. Det handlar om att skapa ett system där alla, från styrelserummet till utvecklingsteamet, förstår sin roll i att skydda organisationens informationstillgångar.
Ramverk från ISO/IEC 27001:2022 till NIS2 utgår från samma grundläggande sanning: styrning är en ledningsfunktion, inte en teknisk funktion. Enligt ISO/IEC 27014:2020 ska högsta ledningen skapa en informationssäkerhetsstrategi som är anpassad till organisationens mål. Strategin ska säkerställa att säkerhetskraven uppfyller både interna och externa behov, inklusive rättsliga, regulatoriska och avtalsmässiga åtaganden. För att bekräfta detta ska ledningen initiera oberoende revisioner, främja en kultur som aktivt stödjer säkerhet och säkerställa att mål, roller och resurser är väl samordnade.
Problemet är att denna ”ton från toppen” ofta inte omsätts i praktisk handling på operativ nivå. Det är här den mest kritiska, och ofta missförstådda, kontrollen kommer in: ledningsansvar.
Den kaskaderande effekten: varför säkerheten inte kan stanna hos CISO:n
Den enskilt största felpunkten i varje ledningssystem för informationssäkerhet är antagandet att CISO:n ensam ansvarar för säkerheten. I praktiken är CISO:n dirigenten, men cheferna för varje verksamhetsenhet är musikerna. Om de inte spelar sin del blir resultatet brus, inte harmoni.
Det är just detta som ISO/IEC 27001:2022 behandlar i kontroll 5.4, ”Ledningens ansvar”. Kontrollen kräver att ansvar för informationssäkerhet tilldelas och tillämpas i hela organisationen. Som vår Zenith Blueprint: revisorns färdplan i 30 steg lyfter fram i steg 23 handlar denna kontroll om att säkerställa att säkerhetsledarskapet kaskaderar genom varje nivå i organisationen.
”I slutänden förstärker kontroll 5.4 att säkerhetsledarskapet inte stannar hos CISO:n. Det måste kaskadera genom varje nivå av operativ ledning, eftersom framgången eller misslyckandet för ert ISMS ofta inte avgörs av policyer eller verktyg, utan av om chefer aktivt driver säkerhetsarbetet inom sina egna ansvarsområden.” Zenith Blueprint
I Marias fall såg marknadschefen säkerhet som ett hinder, inte som ett gemensamt ansvar. DevOps-ingenjören såg en tidsfrist, inte ett säkerhetsansvar. Ett levande styrningsramverk skulle ha integrerat säkerhetskontroller i projektinitieringen och i DevOps-teamets nyckeltal. Därmed omvandlas styrning från en efterlevnadsbörda till ett verktyg för att undvika katastrofer.
Från teori till praktik: att bygga styrning med handlingsbara policyer
En policy på en hylla är en artefakt; en policy som är integrerad i den dagliga verksamheten är en kontroll. För att omsätta styrning i praktiken behöver organisationer en entydig definition av ansvar. Vår Governance Roles & Responsibilities Policy är utformad för att uppnå just detta. Ett av dess centrala mål är:
”Att upprätthålla en styrningsmodell som säkerställer funktionsseparering, eliminerar intressekonflikter och möjliggör eskalering av olösta säkerhetsfrågor.” Policy för styrningsroller och ansvar
Detta uttalande omvandlar en övergripande princip till ett konkret, verifierbart krav. Det skapar ett ramverk för ansvarsskyldighet i flera nivåer, där varje ledningsnivå formellt ansvarar för sin del av säkerhetsprogrammet. För mindre organisationer förenklar Governance Roles & Responsibilities Policy - SME detta och anger direkt i klausul 4.3.3 att varje anställd ”ska rapportera incidenter och efterlevnadsfrågor till den verkställande chefen omedelbart”. Denna tydlighet undanröjer oklarheter och ger alla mandat att agera.
Låt oss återvända till Marias incident och se hur hon skulle kunna använda Clarysecs verktygslåda för att bygga om sin styrningsansats och omvandla ett reaktivt misslyckande till ett proaktivt, resilient system.
Policy som grund: Först skulle hon införa Policy för styrningsroller och ansvar. Tillsammans med HR skulle hon integrera specifika säkerhetsansvar i befattningsbeskrivningarna för alla chefer, från marknad till ekonomi. Det gör säkerhet till en formell del av deras roll, inte en efterhandsfråga.
Definiera ”hur”: Därefter skulle hon använda policyn för att etablera en tydlig process. Klausul 7.2.2 i policyn anger: ”Styrningsrelaterade risker ska granskas av ISMS-styrgruppen och valideras vid interna revisioner.” Detta skapar ett formellt forum där marknadschefens nya projekt skulle ha granskats innan någon molnmiljö skapades, vilket hade förhindrat den ursprungliga felkonfigurationen.
Använda insikt för tvärgående efterlevnad: För att förstå hela omfattningen av sin nya styrningsmodell skulle Maria använda Zenith Controls: guiden för tvärgående efterlevnad. Denna resurs visar hur ”Ledningens ansvar” (ISO 5.4) inte är en isolerad uppgift utan ett centralt nav som kopplar samman andra kritiska kontroller. Den visar exempelvis den direkta kopplingen mellan 5.4 och 5.8 (”Informationssäkerhet i projektledning”) och säkerställer att ledningen tillhandahåller den tillsyn som krävs för att integrera säkerhet i alla nya initiativ.
Detta proaktiva arbetssätt flyttar styrningen från reaktiv efterincidentanalys till en funktion som möjliggör verksamheten. Det säkerställer att när en chef vill lansera ett nytt verktyg blir den första tanken inte ”Hur får jag detta förbi säkerhet?” utan ”Vem i säkerhetsfunktionen behöver jag samarbeta med?”
Revisorn kommer: att visa att styrningen är verklig
En erfaren revisor är tränad att söka efter evidens för faktisk tillämpning, ett koncept som Zenith Blueprint beskriver som samstämmigheten mellan policy och ”verklighet”. När en revisor bedömer ert styrningsramverk läser revisorn inte bara dokument; revisorn testar organisationens muskelminne. Revisorn söker underlag som visar att styrningen är levande, aktiv och responsiv.
Olika revisorer kommer att granska ert styrningsramverk ur olika perspektiv. Så här skulle de testa Marias nya, robusta styrningsmodell:
ISO/IEC 27001:2022-revisorn: Denna revisor går direkt till underlaget för det ledarskapsåtagande som krävs enligt klausul 5.1. Revisorn begär protokoll från ledningens genomgångar (klausul 9.3). Revisorn söker dagordningspunkter där säkerhetsprestanda har diskuterats, resurser har tilldelats och beslut har fattats baserat på riskbedömningar. Revisorn vill se att ledningen inte bara tar emot rapporter, utan aktivt styr ISMS.
COBIT 2019-revisorn: En COBIT-revisor tänker i termer av företagsmål. Revisorn fokuserar på styrningsmål som EDM03 (”Säkerställ riskoptimering”). Revisorn begär att få se riskrapporter som presenterats för styrelsen och vill veta om ledningen följer upp centrala säkerhetsindikatorer och vidtar korrigerande åtgärder när indikatorerna utvecklas negativt. För denna revisor handlar styrning om att säkerställa att säkerhet möjliggör och skyddar verksamhetsvärde.
ISACA-revisorn: Med ramverk som ITAF som utgångspunkt fokuserar denna revisor särskilt på ”tonen från toppen”. Revisorn genomför intervjuer med högsta ledningen för att bedöma deras förståelse och engagemang. Ett långsamt eller avfärdande svar från ledningen på en tidigare revisionsiakttagelse är en tydlig varningssignal som indikerar en svag styrningskultur.
NIS2- eller DORA-tillsynsmyndigheten: Med regelverk som NIS2 och DORA är insatserna högre. Dessa ramverk lägger direkt, personligt ansvar på ledningsorgan för cybersäkerhetsbrister. En revisor från en behörig myndighet kommer att kräva underlag för att styrelsen har godkänt ramverket för hantering av cybersäkerhetsrisker, övervakat dess genomförande och fått specialiserad utbildning. Myndigheten söker bevis för att ledningen inte bara är medveten, utan aktivt engagerad och ansvarsskyldig.
För att uppfylla dessa olika revisionsansatser behöver ni presentera mer än policyer. Ni behöver en portfölj med underlag.
| Fokusområde för revision | Nödvändigt underlag |
|---|---|
| Engagemang från högsta ledningen | Protokoll från ledningens genomgång, godkända budgetar, styrelsepresentationer och strategisk kommunikation. |
| Effektivitetsgranskningar | Åtgärdsloggar från ledningsbeslut och uppföljda riskreducerande åtgärder från riskbedömningar. |
| Ansvarsskyldighet och respons | RACI-matriser, befattningsbeskrivningar med säkerhetsansvar och incidentrapporter som visar eskalering till ledningen. |
| Formell tilldelning | Undertecknade direktiv för säkerhetskommittéer, formella rollbeskrivningar för riskägare och årliga intyg från avdelningschefer. |
Om ert underlag består av policyer i PDF-format och saknar operativa loggar kommer ni att underkännas i revisionen. Guiden Zenith Controls hjälper er att sätta samman rätt portfölj för att visa evidens, inte bara avsikt.
Återkopplingsloopen: att omvandla incidenter till resiliens
I slutänden är det starkaste beviset på ett resilient styrningsramverk hur organisationen reagerar på misslyckanden. Verklig resiliens innebär att lära, anpassa sig och agera. Som Zenith Blueprint anger i diskussionen om kontroll 5.24 (”Planering och förberedelse för hantering av informationssäkerhetsincidenter”):
”Det som definierar en säker organisation är inte frånvaron av incidenter, utan beredskapen att hantera dem när de uppstår … Denna kontroll handlar om förbättring, inte bara om avslut. Revisorer kommer att fråga: ’Vad lärde ni er av er senaste incident?’ De förväntar sig att se rotorsaksanalys, dokumenterade lärdomar och, viktigast av allt, underlag för att något faktiskt förändrades som följd.”
I Marias fall var det ”något som förändrades” inte bara en brandväggsregel. Det var införandet av en styrningsprocess som krävde formellt ledningsgodkännande för nya projekt, en tydlig RACI-matris för molndrift och obligatorisk säkerhetsutbildning för marknadsteamet. Hennes förmåga att visa denna lärandeloop skulle omvandla en potentiell större avvikelse till underlag för ett moget och förbättrande ISMS.
Det är här styrningen visar sitt värde. Ett misslyckande är inte längre bara ett tekniskt problem som ska åtgärdas, utan en organisatorisk lärdom som ska tas tillvara och integreras. Som Policy för styrningsroller och ansvar anger i avsnitt 9.1.1.4 ska ”väsentliga revisionsiakttagelser eller incidenter som innefattar styrningsfel” inte begravas; de ska granskas, eskaleras och åtgärdas.
Att få styrningen att bestå: ansvarsskyldighetens roll
Även med de bästa policyerna och ledningens stöd kan styrning misslyckas om det saknas konsekvenser vid bristande efterlevnad. Ett verkligt robust ramverk måste stödjas av en rättvis, konsekvent och väl kommunicerad disciplinär process. Detta är fokus för ISO/IEC 27001:2022-kontroll 6.4, ”Disciplinär process”.
Denna kontroll säkerställer att reglerna i ISMS inte är frivilliga. Den tillhandahåller den verkställighetsmekanism som visar ledningens åtagande för säkerhet. Som beskrivs i Zenith Controls är denna process en kritisk riskbehandling för insiderhot och oaktsamhet. Den fungerar tillsammans med andra kontroller: övervakningsaktiviteter (8.16) kan identifiera en policyöverträdelse, medan den disciplinära processen (6.4) styr den formella responsen.
”Disciplinära åtgärder är mer försvarbara när anställda har fått tillräcklig utbildning och gjorts medvetna om sitt ansvar. Kontroll 6.4 bygger på 6.3 (Medvetenhet, utbildning och träning inom informationssäkerhet) för att säkerställa att personal inte kan hävda okunskap om policyer de har brutit mot.”
En revisor kommer att kontrollera att processen tillämpas konsekvent på alla nivåer och säkerställa att en högre chef som bryter mot policy för rent skrivbord omfattas av samma process som en praktikant. Detta är den sista länken i kedjan, som omvandlar styrning från vägledning till en standard som kan tillämpas.
Den enhetliga efterlevnadskartan: en samlad bild av styrning
Trycket i modern styrning är att den aldrig ryms i ett enda ramverk. Regelverk som NIS2 och DORA har höjt ledningsansvar från bästa praxis till ett rättsligt krav med personligt ansvar. En resilient CISO måste kunna visa styrning på ett sätt som uppfyller flera revisorers krav samtidigt.
Denna enhetliga tabell, baserad på mappningarna i Zenith Controls, visar hur principen om ledningsansvar är ett universellt krav i större ramverk.
| Ramverk/standard | Relevant klausul/kontroll | Hur den mappas mot ledningens ansvar (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | Klausuler 5.1, 5.2, 9.3 | Kräver aktivt ledarskap, integrering av ISMS i verksamhetsprocesser och regelbundna ledningens genomgångar. |
| EU:s NIS2-direktiv | Article 21(1) | Ledningsorgan ska godkänna och övervaka praxis för hantering av cybersäkerhetsrisker, med personligt ansvar vid brister. |
| EU:s DORA-förordning | Article 5(2) | Ledningsorganet har det yttersta ansvaret för organisationens ramverk för IKT-riskhantering och operativ resiliens. |
| EU:s GDPR | Articles 5(2), 24(1) | Ansvarsskyldighetsprincipen kräver att personuppgiftsansvariga (högsta ledningen) kan visa efterlevnad och införa lämpliga åtgärder. |
| NIST SP 800-53 | PM-1, PM-9 | Ledningen ska etablera planen för säkerhetsprogrammet och skapa en riskledningsfunktion för enhetlig tillsyn. |
| COBIT 2019 | EDM03 | Styrelsen och verkställande ledning ska utvärdera, styra och övervaka säkerhetsinitiativ för att säkerställa anpassning till verksamhetsmålen. |
Slutsatsen är tydlig: alla revisorer, oavsett ramverk, konvergerar mot samma krav: ”Visa mig styrningen i praktiken.”
Slutsats: att omvandla styrning från kryssruta till kompass
Den smärtsamma sanningen är att organisationer som är ”efterlevande” drabbas av intrång varje dag. Resilienta organisationer överlever däremot och anpassar sig. Resiliens kräver djup integrering av policy, teknik och verkligt ägarskap hos ledningen. Det handlar inte om en parad av formulär, utan om en kultur där säkerhet och verksamhetsstrategi rör sig i takt.
Börja med att ställa de svåra frågorna:
- Är vårt säkerhetsledarskap synligt? Deltar chefer utanför säkerhetsfunktionen aktivt i riskbeslut?
- Är ansvaret tydligt? Kan varje chef beskriva sitt specifika ansvar för att skydda information inom sitt område?
- Är styrningen integrerad? Är säkerhetsaspekter inbyggda i våra processer för projektledning, upphandling och HR från början?
- Lär vi oss av våra misstag? När en incident inträffar, utlöser den en granskning av vårt styrningsramverk och inte bara av våra tekniska kontroller?
Skillnaden mellan att överleva en incident och att misslyckas under regulatorisk granskning avgörs av hur djupt styrningen är invävd i verksamheten. Den är kompassen som leder organisationen genom osäkerhet. I krisens ögonblick är det bara verklig styrning som står mellan efterlevnad och katastrof.
Nästa steg: gör er resiliens mätbar
- Använd Zenith Blueprint för att göra en verklighetskontroll av ledningens ansvarsskyldighet och säkerställa att säkerheten är synlig i hela verksamheten.
- Inför Clarysecs policyer, till exempel Policy för styrningsroller och ansvar, som levande dokument som driver utbildning, eskalering och korrigering.
- Använd Zenith Controls för att säkerställa revisionsberedskap inom ISO/IEC 27001:2022, NIS2, DORA med flera, med konkreta mappningar och underlagspaket.
Redo att utveckla er styrning från en kryssruta till en kompass? Boka en ISMS-styrningsgranskning med Clarysec och sätt den verkställande ledningen på riktigt i förarsätet.
Referenser:
- Zenith Blueprint: revisorns färdplan i 30 steg
- Zenith Controls: guiden för tvärgående efterlevnad
- Policy för styrningsroller och ansvar
- Policy för styrningsroller och ansvar – SME
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
