Modulet helt kort

Arbejdet med dette værktøj munder ud i en plan i form af en visuel roadmap, der er tilpasset virksomhedens behov for IoT-cybersikkerhed. Roadmappen bliver til gennem fælles diskussioner, hvor der er fokus på vigtigheden af og tidshorisonten for de kerneopgaver, der indgår i IoT-cybersikkerhedsindsatsen. 

Gennem den fælles indsats forankres IoT-cybersikkerhed i virksomheden i et fælles sprog og en visuel fremstilling af de efterfølgende planlægningsbeslutninger, der nemt kan deles og bruges på møder.

Kerneopgaverne er repræsenteret ved de fire byggesten for IoT-cybersikkerhed.

Forudsætninger for at anvende værktøjet

Roadmap-værktøjet bygger videre på viden om de fire byggesten for IoT-cybersikkerhed, som virksomheden har tilegnet sig gennem værktøjet Byggesten til cybersikkerhed. 

Roadmap for IoT-cybersikkerhed 

En roadmap giver ro i maven

Hver af de fire byggesten for IoT-sikkerhed repræsenterer en opgave, der skal udføres for at højne IoT-sikkerheden, og opgaverne spiller naturligvis sammen i praksis i virksomheden.

I den ideelle verden ville alle fire byggesten blive udviklet sideløbende. Men det kan ikke altid lade sig gøre i en travl hverdag. Rationalet bag roadmappen er derfor at få prioriteret byggestenene i forhold til vigtighed og tidshorisont .

Ved at prioritere vigtighed og tidshorisont, kan virksomheden tage fat på de mest presserende IoT-cybersikkerhedsopgaver, samtidig med at det sikres, at de øvrige byggesten bliver adresseret løbende.

Visuel roadmap 

Roadmappen er en model med to akser, hvor byggestenene indtegnes af virksomheden selv.

Roadmappens akser: vigtighed og tidshorisont

Roadmap-skabelonen består af to akser:

• Y-aksen beskriver vigtigheden af byggestenen (lav, medium og høj).
  
  • Det er med vilje, at beskrivelsen af ’vigtighed’ på Y-aksen er formuleret kvalitativt, så der er åbnet for fortolkninger hos virksomheden. Hvis formuleringen er for åben til at sige noget om byggestenens vigtighed, kan man overveje følgende: 1) Opgaverne inden for byggestenen: er de vigtige for virksomhedens forretning? og 2) Investeringer i udviklingen af byggestenen: kan/burde der investeres nu, eller kan det vente til senere? 
• X-aksen beskriver tidshorisonten for byggestenen.
  
  • Her bestemmer virksomheden sig for en skala. Hver kolonne i roadmappen kan fx være ét år (roadmappen vil dermed være en femårsplan), et halvt år eller to år afhængigt af den aktuelle planlægningshorisont.

Udform byggestenene

Roadmap-skabelonen er inddelt i felter, hvor virksomheden indtegner sine egne byggesten. Nogle gange vil der være tomme felter i roadmappen, fordi byggestenene ikke udfylder alle felter, og andre gange vil skabelonen være helt fyldt ud. 

Med udgangspunkt i virksomhedens opfattelse af byggestenenes ’vigtighed’ og ’tidshorisont’, skal virksomheden nu udforme hver af de fire byggesten. Det gøres ved at udfylde felterne i skabelonen for at visualisere vigtigheden og tidshorisonten for hver byggesten i roadmappen. Se eksempel på en udfyldt roadmap nedenfor. 

“Roadmap” af CyPro under licens CC BY-SA 4.0 

Roadmap 
Print-venlig version i stort format

Eksempel på et udfyldt visuel roadmap

“Eksempel på roadmap” af CyPro under licens CC BY-SA 4.0 

I det viste eksempel har byggestenen ’Lovgivning og standarder’ løbende opmærksomhed i hele den periode, roadmappen dækker. Denne byggesten har dog også lav prioritet for virksomheden. Der er mere tale om et kontinuerligt stabilt fokus.

I det første år er der fokus på at udvikle byggestenen ’Sammenhæng mellem forretning og sikkerhed’, og denne byggesten har løbende høj vigtighed pga. teknologiens fortsatte udvikling. 

I år 2 og fremefter er der medium fokus på ’Tilgang til sikkerhed og risiko’, og i år 4 og 5 bliver ’Processer og forankring i organisationen’ mere og mere vigtigt i takt med, at tilgangen, forretningen og måske standarder skal implementeres i virksomhedens dagligdag. 

Virksomhedsprofilen i eksemplet

I eksemplet er roadmap-profilen for den fiktive virksomhed forretningsorienteret IoT-cybersikkerhed. Her ses cybersikkerhed som afgørende for forretningsmodellen, og IoT-sikkerhed udvikles altid som en del af hvert nyt IoT-produkt eller -service (integreret IoT-cybersikkerhed). Desuden er virksomheden bevidst om at skulle leve op til gældende love og regler, samtidig med at den konstant arbejder på at styrke sin IoT-cybersikkerhedspraksis og sikre forankring i organisationen.

Praktiske oplysninger

Inviter repræsentanter med så meget viden som muligt inden for de enkelte byggesten, så beslutninger ikke skal udsættes til et senere møde. Afsæt ca. 2 timer til mødet inkl. en kort pause.

Det er mest optimalt med 3–4 personer til de indledende roadmap-diskussioner samt planlægning. Flere kan inddrages senere for at verificere, justere og diskutere den visuelle roadmap. 

Forberedelse til mødet

• Del resultaterne af virksomhedens arbejde med Byggesten for cybersikkerhed med deltagerne i god tid inden mødet. 
• Medbring viden om relevante planer og strategier for virksomhedens IoT-cybersikkerhed, da roadmappen kan blive påvirket af disse planer og strategier – fx forretningsstrategier, kvalitetssystem, udvikling af nye IoT-løsninger og teknologier.
• Udskriv blanke roadmap-skabeloner (helst i A3); én til hver deltager samt nogle ekstra.
• Medbring farvede penne eller tusser til at tegne byggestenene. Der skal bruges fire farver.

Trin-for-trin vejledning

Vejledningen er inddelt i tre afsnit:

1. Forbered skabelonen, 
2. Udformning af byggestenene, og 
3. Vurdering af den udarbejdede visuelle roadmap. 

Hele gruppen arbejder i fællesskab i den samme roadmap på mødet og bruger deres egne eksemplarer til at skrive noter på eller eksperimentere med formen på byggestenene.

Forbered den fælles skabelon 
(15 minutter)

Her skal deltagerne beslutte sig for den tidshorisont, roadmappen skal dække.

Desuden skal der tages stilling til, om roadmappen skal tilpasses andre planlægningshorisonter i virksomheden – som fx strategi, kunder, udviklingsprojekter m.m.

Når dette er gjort, skrives tidsintervallerne på X-aksen i den fælles roadmap skabelon.

Udform byggestenene 
(20 minutter pr. byggesten)

1. Overvej indholdet af virksomhedens fire byggesten ved at se på det arbejde, der blev udført under Byggesten for cybersikkerhed. Tag evt. en diskussion om indholdet af byggestenene i gruppen.
2. Vælg en byggesten og beslut:
   
   1. Hvor vigtig er denne byggesten for virksomhedens IoT-sikkerhed (lav, medium, høj)
   2. Hvilken tidsperiode hører byggestenen hjemme i? Hvad er tidshorisonten? Skal der være flere byggesten på samme tid, fordi de er indbyrdes afhængige?
   3. Tegn formen på den pågældende byggesten ved at farve felterne i skabelonen for at afspejle tidshorisont og vigtighed.
3. Lav et realitetstjek af den netop udarbejdede byggesten:
   
   1. Har virksomheden ressourcer og kompetencer til at arbejde med byggestenen og lave den nødvendige indsats med denne og kommende/interagerende byggesten?
   2. Hænger byggestenen rigtigt sammen med resten af roadmappens byggesten? (Især vigtigt jo flere byggesten, der er indtegnet i den visuelle roadmap). Lav om nødvendigt nogle tilretninger. Begynd evt. forfra med en ren skabelon for at undgå misforståelser.
   3. Hvem er ansvarlig for at drive udviklingen af byggestenen i virksomheden?
4. Gentag trin 2 og 3 med andre farver, indtil alle fire byggesten er indtegnet i roadmappen med hver sin farve.

Vurder den visuelle roadmap 
(15 minutter)

Med udgangspunkt i den udfyldte, fælles visuelle roadmap vurderes følgende:

1. Kan alle deltagere stå inde for planen for virksomhedens IoT-sikkerhed, som den er vist i den visuelle roadmap?
2. Underbygger og bekræfter roadmappen virksomhedens behov for cybersikkerhed?
3. Anerkender alle deltagere deres ansvar og ansvarsområder?
4. Hvad er næste skridt herfra?

Udbytte

Gennem en fælles indsats forankres IoT-cybersikkerhed i virksomheden, der får et fælles sprog for arbejdet med IoT-cybersikkerhed og en visuel fremstilling, der nemt kan deles og anvendes sammen med andre interessenter. Det bliver tydeligt, hvilke byggesten der skal fokuseres på som det næste, og roadmappen viser, at alt ikke behøver at ske på én gang.

Resultatet er en fælles plan, der kan spænde over flere funktioner og ledelsesniveauer.

Roadmappens holistiske karakter er med til at sætte en retning for virksomhedens overvejelser ift. IoT-cybersikkerhed generelt – og den giver samtidig plads til overvejelser om, hvordan de enkelte byggesten indbyrdes påvirker hinanden.

Ekspertens råd

Undervejs i arbejdet med at udforme roadmappen bliver det klart, 1) at virksomheden ikke skal investere i alle byggesten på én gang men snarere fokusere på at skabe en fremadskridende proces for byggestenene, og 2) at virksomheden ikke skal sætte alt til på én af de fire byggesten men derimod løbende have fokus på udviklingen af alle fire byggesten. 

Roadmappen er desuden et udtryk for virksomhedens helt egen måde at arbejde med IoT-cybersikkerhed på. 

De teknologier der indgår i IoT-løsninger og -services er i rivende udvikling. Derfor bliver man aldrig helt færdig med en byggesten. Selvom en byggesten ikke lige er i fokus i roadmappen, kræver den stadig opmærksomhed og løbende justeringer.

Det kan være fornuftigt at lade eksplicitte målinger af fremdriften med byggestenene indgå i virksomhedens overordnede kvalitetssikringssystem.

Næste skridt

Næste skridt er at gå videre med den proces, der er besluttet i den nye roadmap. At skabe forandring i opfattelser og adfærd ift. IoT-cybersikkerhed er en samarbejdsbaseret læringsproces, der hænger tæt sammen med en virksomheds dagligdag, og som omfatter alle i virksomheden.

Denne læringsproces kan understøttes af et forandringsværktøj specifikt rettet mod IoT-cybersikkerhed.

Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0

CyPro