Mål for byggesten til cybersikkerhed

Mål for byggesten til cybersikkerhed

Formulering af sammenhængen mellem handling og mål for den næste indsats for at videreudvikle cybersikkerhed i virksomheden.
Mål for byggesten til cybersikkerhed

Mål for byggesten til cybersikkerhed

Formulering af sammenhængen mellem handling og mål for den næste indsats for at videreudvikle cybersikkerhed i virksomheden.
Mål for byggesten til cybersikkerhed

Mål for byggesten til cybersikkerhed

Formulering af sammenhængen mellem handling og mål for den næste indsats for at videreudvikle cybersikkerhed i virksomheden.
IoT Cybersikkerhed Læringsmodul

30. maj 2023

Modulet helt kort

Dette værktøj handler om at lave en målformulering, der kæder en konkret handling sammen med et konkret mål. Målformuleringen sætter retningen for videreudviklingen af cybersikkerhed i virksomheden, og gør det nemt at konstatere fremdrift.

Det er en forudsætning for at bruge værktøjet, at virksomheden har gennemført en fælles prioritering af et område (fx byggesten til cybersikkerhed), der skal sættes konkrete mål for.

Værktøjet tager afsæt i, at virksomheden har arbejdet med byggesten til cybersikkerhed.

Grundlæggende begreber

Som en del af dette værktøj bruges følgende definitioner: mål, handling og målformulering.

Mål og handling

Fordi der er tæt sammenhæng mellem mål og handling, så defineres de to begreber samtidig.

Man kan sige, at målet er dét, virksomheden forventer som resultat af en handling.

Målformulering

Det kan være svært at formulere meget konkrete mål, når virksomheden bevæger sig ud på nye områder, og det kan være svært at gennemskue, hvilke handlinger der opfylder målene.

Målformulering i dette værktøj kæder meget tydeligt én specifik handling sammen med ét specifikt mål. Målformuleringen er virksomhedens fælles bedste bud på, at netop denne handling leder til dette mål.

Indhold i målformulering

Målformulering for den kommende indsats om cybersikkerhed er én sætning, der sammenfatter:

  1. virksomhedens næste, konkrete handling for at styrke cybersikkerheden
  2. et konkrete mål, som virksomheden forventer at opnå med handlingen

Formatet for målformuleringen er: Hvis vi gør denne handling,  opnår vi dette mål.

Målformuleringskort

Målformuleringen indskrives i følgende værktøj, der adskiller handlingen fra målet men kæder de to dele sammen i én sætning, der let kan deles og kommunikeres i virksomheden.

Til højre i målformuleringskortet kan virksomheden beskrive flere konkrete detaljer om, hvordan handlingen skal udføres for at opnå målet.

Mål for byggesten til cybersikkerhed

“Målformulerings-kort” af CyPro under licens CC BY-SA 4.0

 project logos
Målformulerings-kort
Print-friendly version of the tool in large format.

Eksempler på målformuleringer

Eksempler på målformuleringer af forskellig slags, der kan konkretiseres endnu mere med henblik på konkrete værktøjer, kommunikationsformer, mål og rolle- og ansvarsbeskrivelser:

NÅR vi bruger et systematisk værktøj til at modellere sikkerhedstrusler med,
 håndterer vi truslerne efter deres konsekvenser for virksomheden.

NÅR vi kommunikerer håndgribelige mål for cybersikkerhed, der betyder noget for forretningen,
 gør alle medarbejdere og ledere i virksomheden, hvad de kan, for at opfylde målet.

NÅR vi giver en person ansvar for og ressourcer til at sætte sig ind i standarder,
 får vi en cybersikkerhed, der passer til virksomhedens forretning.

Desto mere konkret handlingen er, jo nemmere er det at sætte et mål sammen med handlingen.

Praktisk information

Det er vigtigt, at der er repræsentanter fra både den tekniske ledelse og forretningsledelsen.

  • Afsæt et møde af ca. 1 times varighed. Inviter de personer, der har deltaget i at lave analyserne af byggestenene (og prioriteringsdialogen). Hvis målformuleringen laves af 2 personer, så afkort mødet til ca. en halv time med denne tidsfordeling: pkt. 1-2: 15 min.; pkt. 3-6: 15-20 min.
  • Print værktøjet til målformulering, og medbring 1-2 papirkopier pr mødedeltager
  • Medbring post-Its og skriveredskaber

Trin-for-trin guide

1) Gennemgå sammen den byggesten/den indsats for cybersikkerhed, virksomheden har prioriteret som vigtigt at videreudvikle: er der nye informationer, der har relevans for målformuleringen? (5 min.).

2) Alle mødedeltagere laver individuelt mindst én målformulering til indsatsen i målformuleringskortet (10 min.).

a) Hver deltager får sin egen farve post-Its.
b) Hver deltager skriver Hvis vi gør… på en post-It og Så når vi dette mål… på en anden post-It og sætter dem i felterne på eget målformuleringskort, så de udgør én samlet sætning, jf. eksemplerne ovenfor.

3) Målformuleringerne præsenteres bordet rundt. Hver person præsenterer og begrunder sin samlede målformulering (Hvis… Så…), og lægger sit målformuleringskort på mødebordet. (15 min. afhængigt af antallet af deltagere).

4) Når alle har præsenteret, så tal om: Er der ligheder? Er der forskelle? (15 min.).

a) Post-Its med lignende mål og handlinger samles, et ark for ensartede mål og et ark for ensartede handlinger.
b) Hvis hele målformuleringer ligner hinanden, så kombineres de på et nyt fælles ark.

5) Beslut i fællesskab én målformulering for indsatsen for cybersikkerhed, tilpas evt. formuleringen, skriv den ind i et målformuleringskort, og besvar sammen spørgsmålene under ‘yderligere beskrivelse’ i målkortet (15 min.)

6) Afslut med et realitetstjek af den endelige målformulering: er handlingen et realistisk og konkret næste skridt, og kan målet iagttages?

Udbytte

Nytteværdien er opbygning af et fælles sprog om cybersikkerhed og videndeling mellem centrale interessenter i cybersikkerhed om, hvordan handlinger og mål kobles sammen i forbindelse med nye indsatser for cybersikkerhed.

Som en ekstra gevinst bliver det også nemmere at lære af den kommende indsats, fordi det kan konstateres, om netop denne handling ledte til det forventede mål eller ej.

Ekspertens råd

Det er en tydelig erfaring, at det kan være meget overraskende at lytte til kolleger, der italesætter, hvordan de selv forstår sammenhængen mellem handlinger og mål for en konkret indsats. Ofte antager vi, at vi er mere enige om sammenhængen mellem handlinger og mål, end vi i realiteten er.

Kendskabet til kollegernes forståelse af sammenhæng mellem mål og handlinger for nye indsatser med cybersikkerhed gør det nemmere at have en fælles og acceptabel forandringsproces med relevante og forståelige begrundelser.

Næste skridt

Når det konkrete næste skridt for cybersikkerhed er klart sat op i en målformulering, er målformuleringen en trædesten for at sætte de øvrige tre byggesten til cybersikkerhed sammen med den prioriterede byggesten i en realistisk plan for virksomheden – et roadmap for cybersikkerheden.

Mål for byggesten til cybersikkerhed

Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus UniversitetAlexandra InstituttetDAMRCUGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0

CyPro

Læs også

Byggesten til cybersikkerhed

2023

Her præsenteres fire vigtige byggesten for arbejdet med cybersikkerhed og et værktøj til at opsamle idéer med henblik på at føre virksomheden til et passende cybersikkerhedsniveau.

IoT Cybersikkerhed Læringsmodul

Visuelt roadmap for IoT-cybersikkerhed

2023

Den visuelle roadmap er en overordnet 360-graders plan for udvikling af IoT-cybersikkerhed. Gennem en fælles indsats forankres IoT-cybersikkerhed i virksomheden.

IoT Cybersikkerhed Læringsmodul

Risikostyring – etablering af kontekst 

2024

Etablering af kontekst er det første trin i risikostyringsprocessen og har til formål at sikre, at scopet for risikovurderingen er tilpasset virksomhedens situation. 

IoT Cybersikkerhed Læringsmodul

Bedste praksis for IoT-sikkerhed

2023

Dette er en introduktion til grundlæggende IoT-sikkerhed samt bedste praksis for, hvordan I sikrer jeres IoT-enheder.

IoT Cybersikkerhed Læringsmodul
bubble