Hvad bør en situationsanalyse omfatte

Inden du starter

Modulet helt kort

Inden for dette modul skal der gennemføres en situationsanalyse vedrørende virksomhedens IoT-cybersikkerhed.

Modulets fundament er de fire byggeblokke inden for cybersikkerhed, hvilket gør det afgørende, at virksomheden besidder viden om disse fire elementer.

Redskabet til situationsanalyse bidrager ikke blot med indsigt i organisationens nuværende praksis inden for IoT-cybersikkerhed, men bidrager ligeledes til en styrket forankring af det efterfølgende arbejde med den samlede cybersikkerhed.

Omtalen af de fire byggeblokke foregår i explainer-videoen og en mere udførlig beskrivelse findes i skemaet nedenunder. Det er ligeledes muligt at hente modellen via linket her.

'byggeblok reference overblik' af CyPro under licens CC BY-SA

I stedet for at tegne et negativt billede af virksomhedens IoT-cybersikkerhed, fremlægger værktøjet et billede, der er grundlagt på praktisk erfaring og de specifikke omstændigheder i virksomheden.

En systematisk redegørelse for situationen fremstår som en væsentlig fordel for at kunne avancere med en undersøgende og velfunderet tilgang.

IoT-cybersikkerhed

Hvordan man systematisk forvalter IoT-cybersikkerheden i virksomheden, belyses gennem de fire byggeblokke inden for cybersikkerhed.

De nævnte byggeblokke udgør brede beskrivelser, som forudsætter en tilpasning til virksomhedens eksisterende IoT-cybersikkerhedsstatus, arbejdsgange og forretningsmæssige krav til sikkerheden.

Basen for den individuelle tilpasning skabes ved hjælp af situationsanalysen.

Teamet i virksomheden undersøger på en systematisk vis de nuværende metoder inden for IoT-cybersikkerhed for hver byggeblok og benytter analysen til at evaluere status for:

1. Hvad indeholder virksomhedens IoT-cybersikkerhed, som er adækvat og velfungerende?
2. På hvilke områder bør der fokuseres med det samme for at fremme videreudviklingen af IoT-cybersikkerheden?

Hvad får virksomheden ud af værktøjet?

Dette redskab yder indsigt i, hvorvidt virksomheden udfører opgaverne inden for IoT-cybersikkerhed på en facon, der stemmer overens med dens sikkerhedsbehov, og hvor der eventuelt skal foretages forbedringer.

Ved hjælp af situationsanalysen gives virksomheden mulighed for - på et solidt informeret grundlag - at justere og fastlægge prioriteterne for de opgaver, der omhandler IoT-cybersikkerhed.

Derved styrkes forankringen af IoT-cybersikkerheden inden for organisationen.

Værktøjet situationsanalyse

En situationsanalyse udføres for hver byggeblok relateret til IoT-cybersikkerhed. Denne analyse har til formål at tilvejebringe en nøjagtig beskrivelse af, hvordan virksomheden for nuværende løser og bearbejder sine cybersikkerhedsopgaver, samt at vurdere de fremtidige skridt for de forskellige opgaver.

Den pågældende situationsanalyse udgør en jordnær gennemgang af tre primære spørgsmål for hver byggeblok:

1. Hvorledes agerer virksomheden i relation til denne byggeblok for IoT-cybersikkerhed?
2. Hvorfor vælger virksomheden at agere på den givne måde?
3. Bedømmelse af, hvordan virksomheden agter at fortsætte udviklingen med byggeblokken.

De fire færdiggjorte situationsanalyser - én per byggeblok - fanger og organiserer i fællesskab IoT-cybersikkerhedens aktuelle status, hvilket danner udgangspunkt for at bedømme et passende fremtidigt niveau.

"Indhold og instruktion til situationsanalyse" af CyPro under licens CC BY-NC-ND

Indhold i værktøjet

Hvert analyseskema præsenterer tre primære spørgsmål i individuelle kolonner, suppleret med understøttende spørgsmål til hvert hovedspørgsmål. Det væsentlige er, at virksomheden besvarer disse tre hovedspørgsmål for hver byggeblok og skriftligt dokumenterer svarene.

Disse hjælpespørgsmål fungerer som eksempler på, hvordan virksomheden eventuelt kunne bearbejde og forbedre den cybersikkerhedsopgave, der er central i byggeblokkens situationsanalyse. Hjælpespørgsmålene repræsenterer både overvejelser, potentielle valg og specifikke aktioner.

Det skal bemærkes, at nedenstående eksempel på et analyseskema udelukkende præsenterer situationsanalysen for en enkelt byggeblok: Forretning. 

'Eksempel på skema til situationsanalyse' af CyPro under licens CC BY-SA

Skemaer til Situationsanalyser
En printklar udgave af det samlede værktøj, der omfatter alle 4 byggeblokke i stort layout.

Eksempel på udfyldt situationsanalyse:

'Eksempel på skema til situationsanalyse' af CyPro under licens CC BY-SA

Praktiske informationer

Rækkefølgen for udarbejdelse af de fire situationsanalyser er i praksis uden betydning, da det er helhedsbilledet, der vejer tungest for virksomheden. Den efterfølgende opstilling kan eventuelt anvendes.

'Foreslag til en mulig rækkefølge af situationsanalyser' af CyPro under licens CC BY-SA

Det er muligt at gennemføre situationsanalyserne enten under et fælles arbejdsmøde eller på egen hånd.

Den mest ideelle tilgang er, at de individer inden for virksomheden, der reflekterer over, bærer ansvaret for, og diskuterer IoT-cybersikkerhed, samlet udfylder situationsanalyserne under et møde af cirka 1,5 times varighed.

Situationsanalyser gennemført på et fælles møde

• Beregn omkring 15 minutter per situationsanalyse og 30 minutter til opstart samt den afsluttende, fælles samtale i afsnit 6.
• Der er kun en minimal mængde, der skal noteres. Den mest afgørende faktor ved værktøjet er den fælles drøftelse om samtlige fire byggeblokke, der foregår mellem de medarbejdere, der varetager virksomhedens IoT-cybersikkerhed, og som repræsenterer forskellige funktioner og afdelinger.

Situationsanalyser gennemført alene

• Opdel analysen af byggeblokkene blandt forskellige fagfolk, eller udpeg én person til at stå for alle situationsanalyserne.
• Herefter diskuterer ledelsesteamet eller andre udvalgte individer alle fire analyser. Denne session benævnes som ‘realitetstjekket' af analyserne i den skridt-for-skridt vejledning (se punkt 6 nedenunder).

Trin-for-trin guide

1) Såfremt der er over tre deltagere i situationsanalysen, etabler da mindre grupper af to personer.

a) Grupperne bør udvælges med hensyn til virksomhedens krav om: 1) at IoT-cybersikkerhed inden for organisationen diskuteres tværgående mellem teknologiske og forretningsmæssige enheder, eller 2) at fagpersoner inden for samme specialeområde drøfter IoT-cybersikkerhed, f.eks. driftsansvarlige i én gruppe og kommercielle fagfolk i en anden.

2) Undersøg de centrale spørgsmål for de fire situationsanalyser og bliv enige om en rækkefølge for disse (se eventuelt den foreslåede rækkefølge ovenfor). Alle situationsanalyser udføres efter den samme metode.

3) Begynd situationsanalysen med at besvare det primære spørgsmål 1.

a)  Diskuter hjælpespørgsmålene eller andre relevante emner i virksomheden, der vedrører hovedspørgsmål 1. Udarbejd et svar på hovedspørgsmålet, eventuelt med henvisninger til yderligere dokumentation.

4) Bevæg dig herefter til det andet primære spørgsmål.

a) De understøttende spørgsmål kan bidrage til overvejelser om de mere eller mindre åbenlyse årsager bag den nuværende praksis inden for IoT-cybersikkerhed.
b) Drøft, hvorfor virksomheden handler, som den gør. Udarbejd et svar.

5) Terminér processen med det tredje hovedspørgsmål.

a) Foretag en sammenligning af svarene fra hovedspørgsmål 1 og 2, og evaluer herefter: Hvad skal have yderligere fokus i fremtiden? Overvej eventuelt, hvilke praksisser der performer godt, og hvilke der trænger til forbedring.
b) Til sidst, formuler et svar på hovedspørgsmål 3.

6)Faktisk gennemgang af det overordnede perspektiv på virksomhedens cybersikkerhed.

a) Drøft: Hersker der konsensus? Skal der foretages rettelser i specifikke situationsanalyser?
b) Analyser især hovedspørgsmål 3 på tværs af de fire situationsanalyser: Stemmer situationsanalyserne overens på dette punkt? Er de samlede foreslåede næste skridt realistiske?

Udbytte

En situationsanalyse af virksomhedens IoT-cybersikkerhed, funderet på praktiske erfaringer og med udgangspunkt i de aktuelle forhold, er nu færdiggjort.

Transformationen og forbedringen af virksomhedens cybersikkerhed er blevet faciliteret på basis af en dybere indsigt i og forståelse for organisationens aktuelle tilgang til IoT-cybersikkerhed. Dette har ligeledes resulteret i en bedre forankring af de kommende initiativer.

Det har vist sig, at denne systematiske sammenfatning af situationen vil være en fordel for virksomheden i bestræbelserne på nysgerrigt at kunne tage næste skridt. Fortsæt derfor med at udvise en aktiv nysgerrighed over for IoT-cybersikkerheden i virksomheden, bygget på den opnåede situationsforståelse. Særligt da den teknologiske udvikling aldrig holder inde.

Ekspertens råd

Det skal betones, at en veludført indledende analyse af den aktuelle praksis ofte demonstrerer, at det langt fra er alt, der kræver justering. Dette er også en værdifuld erkendelse - det skaber en følelse af tryghed, at IoT-cybersikkerheden er solidt forankret i en kollektiv forståelse af sikkerhedsbehovene i virksomhedens forretningsmæssige aktiviteter. Ydermere bidrager arbejdet med byggeblokkene til at etablere en fælles terminologi inden for virksomheden.

Næste skridt

Det efterfølgende trin indebærer en drøftelse af modenhedsgraden for samtlige fire byggeblokke inden for IoT-cybersikkerhed. Dette realiseres gennem en systematisk dialog faciliteret af Modenhedsdialogværktøjet. Efter de forenede og samarbejdsorienterede overvejelser vedrørende den nuværende tilstand og byggeblokkenes modenhed, er virksomheden rustet til at træffe informerede beslutninger om sin IoT-cybersikkerhed.

Ovenstående indholdselementer er blevet til via projektet:
'CyPro - Cybersikker produktion i Danmark' er etableret af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology, med bidrag fra Industriens Fond. Alt materiale fra dette projekt er frigivet under Creative Commons. 

CyPro

Flot klaret! Anmod om certifikat