KUNDECASES
Hos ACI Risk Measure arbejder vi med organisationer, der ønsker et bedre grundlag for beslutninger om cybersikkerhed.
Vores kundecases giver et indblik i, hvordan kvantificering af risiko kan omsættes til konkret handling – og hvordan et fælles sprog for cyber- og it-risiko kan styrke dialogen mellem sikkerhed, forretning og ledelse.
“Cybersikkerhed har i mange år været et strategisk fokusområde for os. Samarbejdet med ACI Risk Measure har givet os et klart billede af vores cyberrisici i forretningsmæssige termer. Jeg er meget begejstret for den måde, ACI Risk Measure anvender forsikrings-matematik til at beregne sandsynlighed og de tilhørende omkostninger. Det oversætter risiko til et sprog, der er kendt og forståeligt i bestyrelsen.”
Kvantificering af cyberrisici styrker de strategiske beslutninger
Udfordring
VELUX ønskede et bedre grundlag for at kunne drøfte og prioritere cyberrisici på øverste ledelsesniveau. De klassiske farveskalaer med rød, gul og grøn (4×4 matrix) gav ikke et reelt billede af, hvad risikoen egentlig betød for forretningen. Derfor var målet at etablere en bedre måde at kommunikere risiko på – en måde, som kunne øge forståelsen af risici og deres betydning for forretningen, og samtidig understøtte strategiske valg og prioritering af investeringer, der reducerer risikoen dér, hvor det skaber mest værdi.
Tilgang
I samarbejde med ACI Risk Measure blev cyberrisici i VELUX analyseret og kvantificeret gennem en række workshops og datadrevne vurderinger. Processen kombinerede eksisterende viden fra sikkerhedsteamet med forretningsforståelse fra ledelsen, så risici kunne omsættes til konkrete økonomiske estimater. Det gjorde det muligt at vise, hvordan forskellige typer af hændelser påvirker VELUX – både direkte og indirekte, i økonomiske termer, bakket op af statistisk data.
Resultat
Ved at kvantificere risiciene blev det muligt at kommunikere cyberområdet på en langt mere forståelig, og kvantificerbar måde. Rapporten, der samlede resultaterne af arbejdet, er blevet benyttet som et kommunikations og prioriterings værktøj over for både direktion og bestyrelse og gjorde det lettere for både sikkerhedsteamet og ledelsen at tale ud fra et fælles udgangspunkt. Det gav et tydeligt billede af, hvor indsatsen skaber mest værdi og skabte større transparens omkring behovet for midler i sikkerhedsbudgettet og styrkede dialogen om prioriteringer.
“Samarbejdet med ACI Risk Measure har givet os en risikostyring, der reelt understøtter ledelsens beslutninger. De løbende opdateringer giver et aktuelt, datadrevet risikobillede, som kan anvendes direkte i den daglige styring og i dialogen med bestyrelsen.”
Løbende cyberrisikostyring skaber beslutningsklarhed og regulatorisk robusthed
Udfordring
Lægernes Pension og Bank er kendetegnet ved at være både pensionsselskab og bank, hvilket stiller særlige krav til governance, compliance og it-risikostyring. Kombinationen betyder, at organisationen er underlagt et bredt og komplekst regulatorisk landskab, herunder DORA.
Forud for samarbejdet havde Lægernes Pension og Bank et klart mål om at løfte deres compliance- og modenhedsniveau i forhold til DORA og samtidig skabe en stærkere ledelsesmæssig styring af it-risici. Det var afgørende at opnå større kontrol og transparens – særligt i relation til it-tredjeparter – og at sikre, at risikostyringen blev operationel, datadrevet og beslutningsrelevant. Arbejdet blev igangsat halvandet til to år før DORAs ikrafttræden og krævede en koordineret indsats på tværs af ledelse, it, risikostyring og compliance.
Tilgang
I samarbejde med ACI Risk Measure er Lægernes Pension og Bank gået fra en årlig risiko- og sikkerhedsvurdering (SARA) til kvartalsvise opdateringer. Dermed er risikobilledet blevet et løbende og dynamisk ledelsesværktøj, hvor nye hændelser, ændringer i trusselsbilledet og erfaringer fra driften hurtigt afspejles i vurderingerne.
ACI Risk Measures Managed Cyber Risk fungerer som et centralt element i denne tilgang. De kvartalsvise opdateringer baseres på faktiske datapunkter, Lægernes Pension og Bank egen hændelsesregistrering og opfølgning på igangsatte risikoreducerende tiltag. Samtidig understøtter løsningen klare ledelsesprocesser i it, en struktureret håndtering af it-tredjepartsrisici og et flerårigt risikovurderingssetup, der sikrer konsistens og kontinuitet i risikobilledet – i fuld alignment med Lægernes Pension og Banks DORA-program.
Resultat
I perioden har Lægernes Pension og Bank fået gennemført en uafhængig modenhedsmåling af et revisionshus, som har vurderet en række it-processer, herunder it-risikostyring. I revisionshusets afrapportering blev Lægernes Pension og Banks it-risikostyring vurderet som værende mellem-højt niveau, som er et godt udgangspunkt for at Lægernes Pension & Bank kan arbejde sig hen i mod at være på et højt modensniveau generelt.
Det væsentligste resultat er dog, at Lægernes Pension og Bank i dag har etableret en risikostyring, der fungerer som et reelt ledelsesværktøj. Ledelse og bestyrelse modtager løbende rapportering, der kan anvendes direkte som beslutningsstøtte, og har et klart overblik over risici, trends og effekten af igangsatte tiltag. Risikostyringen er i dag operationel, datadrevet og DORA-alignet gennem hele året.
