Med baggrund i Risk Management indenfor informationssikkerhed, lægger jeg stor vægt på, at det i sidste ende handler om at drive en forretning.

Jeg kommer med en forståelse af, at det ikke handler om at eliminere alle risici, men at en risiko også kommer med en mulighed, som skal afvejes.

Compliance uden governance bliver til en papirøvelse, der er frakoblet forretningen, og dermed ender med at male ”røde” lamper ”grønne – uden nogen reel værdi for forretningen og medarbejderne. Derfor er min ambition altid at skabe værdi på tværs af forretningen, og at trække informationssikkerheds-disciplinen – uanset om det handler om Cyber, Intellectual Property, Fysisk sikkerhed eller GDPR – ud af IT, og over som en tvær-organisatorisk disciplin.

Jeg anvender forskellige rammeværk som ISO 27000 serien, NIST CyberSecurity Framework og CIS Controls v8 for at identificere både udfordringer og områder, hvor kunden excellerer. Derudover kommer jeg med praktisk erfaring fra flere forskellige GRC-platforme, og skal kunden ud at finde en platform, rådgiver jeg upartisk i forhold til at finde det bedste match ud fra hvor kunden står, eksempelvis i forhold til koncern-sprog, evne til at vedligeholde løsningen på egen hånd og organisatorisk modenhed.

Som betroet rådgiver indenfor Cyber- og informationssikkerhed arbejder jeg ud fra det jeg har valgt at kalde ”ambitiøs pragmatisme” – forstået på den måde, at tilgangen skal være ambitiøs, men samtidigt tage udgangspunkt i kundens virkelighed, så der ikke sættes urealistiske forandringer i gang – men målene må gerne have præg af ”shooting for the stars”.