Modulet helt kort

Arbejdet med dette værktøj munder ud i en plan i form af en visuel roadmap, der er tilpasset virksomhedens behov for IoT-cybersikkerhed. Roadmappen bliver til gennem fælles diskussioner, hvor der er fokus på vigtigheden af og tidshorisonten for de kerneopgaver, der indgår i IoT-cybersikkerhedsindsatsen. 

Gennem den fælles indsats forankres IoT-cybersikkerhed i virksomheden i et fælles sprog og en visuel fremstilling af de efterfølgende planlægningsbeslutninger, der nemt kan deles og bruges på møder.

Kerneopgaverne er repræsenteret ved de fire byggeblokke for IoT-cybersikkerhed.

Forudsætninger for at anvende værktøjet

Roadmap-værktøjet bygger videre på viden om de fire byggeblokke for IoT-cybersikkerhed, som virksomheden har tilegnet sig gennem værktøjerne Situationsanalyse og Modenhedsdialog. 

Brug også gerne Referencearket for de fire byggeblokke, hvis du har brug for en genopfriskning af dem.

Roadmap for IoT-cybersikkerhed 

En roadmap giver ro i maven, da den viser, hvad der skal gøres hvornår, og tydeliggør, at intet bliver glemt.

Hver af de fire byggeblokke for IoT-cybersikkerhed repræsenterer en opgave, der skal udføres for at højne IoT-sikkerheden, og opgaverne spiller naturligvis sammen i praksis i virksomheden.

I den ideelle verden ville alle fire byggeblokke blive udviklet sideløbende. Men det kan ikke altid lade sig gøre i en travl hverdag. Rationalet bag roadmappen er derfor at få prioriteret byggeblokkene i forhold til vigtighed og tidshorisont .

Ved at prioritere vigtighed og tidshorisont, kan virksomheden tage fat på de mest presserende IoT-cybersikkerhedsopgaver, samtidig med at det sikres, at de øvrige byggeblokke bliver adresseret løbende.

Denne video præsenterer den visuelle roadmap med fokus på akserne og et eksempel.

"Introduktion til visuelt roadmap" af CyPro under licens CC BY-NC-ND

Visuelt roadmap 

Roadmappen er en model med to akser, hvor byggeblokkene indtegnes af virksomheden selv.

Roadmappens akser: vigtighed og tidshorisont

Roadmap-skabelonen består af to akser (se skabelon):

• Y-aksen beskriver vigtigheden af byggeblokken (lav, medium og høj).
  
  • Det er med vilje, at beskrivelsen af ’vigtighed’ på Y-aksen er formuleret kvalitativt, så der er åbnet for fortolkninger hos virksomheden. Hvis formuleringen er for åben til at sige noget om byggeblokkens vigtighed, kan man overveje følgende: 1) Opgaverne inden for byggeblokken: er de vigtige for virksomhedens forretning? og 2) Investeringer i udviklingen af byggeblokken: kan/burde der investeres nu, eller kan det vente til senere? 
• X-aksen beskriver tidshorisonten for byggeblokken.
  
  • Her bestemmer virksomheden sig for en skala. Hver kolonne i roadmappen kan fx være ét år (roadmappen vil dermed være en femårsplan), et halvt år eller to år, eller noget andet afhængigt af den aktuelle planlægningshorisont.

Udform byggeblokkene

Roadmap-skabelonen er inddelt i felter, hvor virksomheden indtegner sine egne fire byggeblokke. Nogle gange vil der være tomme felter i roadmappen, fordi byggeblokkene ikke udfylder alle felter, og andre gange vil skabelonen være helt fyldt ud. 

Med udgangspunkt i virksomhedens opfattelse af byggeblokkenes ’vigtighed’ og ’tidshorisont’, skal virksomheden nu udforme hver af de fire byggeblokke. Det gøres ved at udfylde felterne i skabelonen for at visualisere vigtigheden og tidshorisonten for hver byggeblok i roadmappen. Se eksempel på en udfyldt roadmap nedenfor. 

“Roadmap” af CyPro under licens CC BY-SA 4.0 

Roadmap 
Print-venlig version i stort format

Eksempel på et udfyldt visuel roadmap

“Eksempel på roadmap” af CyPro under licens CC BY-SA 4.0 

I det viste eksempel har byggeblokken ’Kvalitet’ løbende opmærksomhed i hele den periode, roadmappen dækker som et kontinuerligt stabilt fokus. Dog kan kommende lovgivning og/eller krav til IoT-cybersikkerhedsstandarder ændre dette syn på Kvalitets-byggeblokken, og dermed vil nogle af felterne i Forretnings-byggeblokken blive farvet som Kvalitet i stedet for Forretning.

I det første år er der fokus på at udvikle byggeblokken ’Forretning’, og denne byggeblok har løbende høj vigtighed pga. teknologiens fortsatte udvikling.

I år 2 og fremefter er der medium fokus på ’Teknisk’, og i år 4 og 5 bliver ’Organisation’ mere og mere vigtigt i takt med, at tilgangen, forretningen og måske standarder skal implementeres i virksomhedens dagligdag. 

Virksomhedsprofilen i eksemplet

I eksemplet er roadmap-profilen for den fiktive virksomhed udtryk for en virksomhed, der er ved at videreudvikle og forankre fælles praksis for IoT-cybersikkerhed. I løbet af roadmappens tidshorisont, vil noget af den fælles praksis måske også blive til fælles struktur gennem arbejdet med byggeblokkene. Her ses cybersikkerhed som afgørende for forretningsmodellen, og IoT-cybersikkerhed udvikles altid som en del af hvert nyt IoT-produkt eller -service. Desuden er virksomheden bevidst om at skulle leve op til gældende love og regler, samtidig med at den konstant arbejder på at styrke sin IoT-cybersikkerhedspraksis og sikre forankring i organisationen.

Praktiske informationer

Denne video viser, hvordan I arbejder med den visuelle roadmap i praksis.

"Instruktion til visuelt roadmap" af CyPro under licens CC BY-NC-ND

Inviter repræsentanter med så meget viden som muligt inden for de enkelte byggeblokke, så beslutninger ikke skal udsættes til et senere møde. Afsæt ca. 2 timer til mødet inkl. en kort pause.

Det er mest optimalt med 3–4 personer til de indledende roadmap-diskussioner samt planlægning. Flere kan inddrages senere for at verificere, justere og diskutere den visuelle roadmap. 

Forberedelse til mødet

• Del resultaterne af virksomhedens arbejde med Situationsanalyse med deltagerne i god tid inden mødet. 
• Medbring viden om relevante planer og strategier for virksomhedens IoT-cybersikkerhed, da roadmappen kan blive påvirket af disse planer og strategier – fx forretningsstrategier, kvalitetssystem, udvikling af nye IoT-løsninger og teknologier.
• Udskriv blanke roadmap-skabeloner (helst i A3); én til hver deltager samt nogle ekstra. Overvej også at udskrive Referencearket for de fire byggeblokke.
• Medbring farvede penne eller tusser til at tegne byggeblokkene. Der skal bruges fire farver, en for hver byggeblok.

Trin-for-trin vejledning

Vejledningen er inddelt i tre afsnit:

1. Forbered skabelonen, 
2. Udformning af byggeblokkene, og 
3. Vurdering af den udarbejdede visuelle roadmap. 

Hele gruppen arbejder i fællesskab i den samme roadmap på mødet og bruger deres egne eksemplarer til at skrive noter på eller eksperimentere med formen på byggeblokkene.

Forbered den fælles skabelon 
(15 minutter)

Her skal deltagerne beslutte sig for den tidshorisont, roadmappen skal dække.

Desuden skal der tages stilling til, om roadmappen skal tilpasses andre planlægningshorisonter i virksomheden – som fx strategi, kunder, udviklingsprojekter m.m.

Når dette er gjort, skrives tidsintervallerne på X-aksen i den fælles roadmap skabelon.

Udform byggeblokkene 
(20 minutter pr. byggeblok)

1. Overvej indholdet af virksomhedens fire byggeblokke ved at se på det arbejde, der blev udført under Situationsanalyse og Modenhedsdialog. Tag evt. en diskussion om indholdet af byggeblokkene i gruppen.
2. Vælg en byggeblok og beslut:
   
   1. Hvor vigtig er denne byggeblok for virksomhedens IoT-cybersikkerhed (lav, medium, høj)
   2. Hvilken tidsperiode hører byggeblokken hjemme i? Hvad er tidshorisonten? Skal der være flere byggeblokke på samme tid, fordi de er indbyrdes afhængige?
   3. Tegn formen på den pågældende byggeblok ved at farve felterne i skabelonen for at afspejle tidshorisont og vigtighed.
3. Lav et realitetstjek af den netop udarbejdede byggeblok ved at diskutere:
   
   1. Har virksomheden ressourcer og kompetencer til at arbejde med byggeblokken og lave den nødvendige indsats med denne og kommende/interagerende byggeblokke?
   2. Hænger byggeblokken rigtigt sammen med resten af roadmappens byggeblokke? (Bliver især vigtigere, som flere og flere byggeblokke inkluderes i den visuelle roadmap). Lav om nødvendigt nogle tilretninger. Begynd evt. forfra med en ren skabelon for at undgå misforståelser.
   3. Hvem er ansvarlig for at drive udviklingen af byggeblokken i virksomheden?
4. Gentag trin 2 og 3 med andre farver, indtil alle fire byggeblokke er indtegnet i roadmappen med hver sin farve.

Vurder den visuelle roadmap 
(15 minutter)

Med udgangspunkt i den udfyldte, fælles visuelle roadmap vurderes følgende:

1. Kan alle deltagere stå inde for planen for virksomhedens IoT-cybersikkerhed, som den er vist i den visuelle roadmap?
2. Underbygger og bekræfter roadmappen virksomhedens behov for IoT-cybersikkerhed?
3. Anerkender alle deltagere deres ansvar og ansvarsområder?
4. Hvad er næste skridt herfra?

Udbytte

Gennem en fælles indsats forankres IoT-cybersikkerhed i virksomheden, der får et fælles sprog for arbejdet med IoT-cybersikkerhed og en visuel fremstilling, der nemt kan deles og anvendes sammen med andre interessenter. Det bliver tydeligt, hvilke byggeblokke der skal fokuseres på som det næste, og roadmappen viser, at alt ikke behøver at ske på én gang.

Resultatet er en fælles plan, der kan spænde over flere funktioner og ledelsesniveauer.

Roadmappens holistiske karakter er med til at sætte en retning for virksomhedens overvejelser ift. IoT-cybersikkerhed generelt – og den giver samtidig plads til overvejelser om, hvordan de enkelte byggeblokke indbyrdes påvirker hinanden.

Ekspertens råd

Undervejs i arbejdet med at udforme roadmappen bliver det klart, 1) at virksomheden ikke skal investere i alle byggeblokke på én gang men snarere fokusere på at skabe en fremadskridende proces for byggeblokkene, og 2) at virksomheden ikke skal sætte alt til på én af de fire byggeblokke men derimod løbende have fokus på udviklingen af alle fire byggeblokke. 

Roadmappen er desuden et udtryk for virksomhedens helt egen måde at arbejde med IoT-cybersikkerhed på. 

De teknologier der indgår i IoT-løsninger og -services er i rivende udvikling. Derfor bliver man aldrig helt færdig med en byggeblok. Selvom en byggeblok ikke lige er i fokus i roadmappen, kræver den stadig opmærksomhed og løbende justeringer.

Det kan være fornuftigt at lade eksplicitte målinger af fremdriften med byggeblokkene indgå i virksomhedens overordnede kvalitetssikringssystem.

Næste skridt

Næste skridt er at gå videre med den proces, der er besluttet i den nye roadmap. At skabe forandring i opfattelser og adfærd ift. IoT-cybersikkerhed i virksomhedens forretning er en samarbejdsbaseret læringsproces, der hænger tæt sammen med en virksomheds dagligdag, og som omfatter alle i virksomheden.

Denne læringsproces kan understøttes af et forandringsværktøj specifikt rettet mod IoT-cybersikkerhed.

Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under Creative Commons.

CyPro