Hjemstedet er en gjennomsnittlig norsk kommune. Informasjonssikkerhet har en ikke spesielt fokus på i det daglige, men IT-avdelingen til kommunen har snakket en stund om at man burde gjøre en risikovurdering i tråd med kravet fra internkontrollforskriften. Rådmannen er ansvarlig for informasjonssikkerheten i kommunen, og er også den som skal ta avgjørelser når det gjelder hvor mye risiko man kan akseptere, og dertil hvilke sikkerhetstiltak en skal prioritere. Lederen for IT-avdelingen tar imidlertid jobben med å starte arbeidet med risikovurderingen. Ansatte i administrasjonen og fagsystemene blir involvert sporadisk i arbeidet.
Trusler og sårbarheter
Flere trusler og sårbarheter kan ødelegge kommunens verdier, noen eksempler på det er:
- Usikret lagring av personopplysninger eller mangel på oversikt over hvor en lagrer personopplysninger.
- Svakheter vedr. informasjonssikkerhet for kommunens nettsider.
- Svak fysisk sikkerhet for adgang til noen av kommunens mange kontorer, eiendommer og lager.
- Mangel av nødvendig informasjonssikkerhet på de ansattes IT-utstyr.
- Mangelfull opplæring av ansatte for hvordan en skal klassifisere og lagre informasjon.
En risikovurdering for hvordan en unngår at Uvedkommende får tilgang til sensitive opplysninger er påbegynt
Konsekvenser
Eksempler på konsekvens for uønskede hendelser er:
- Direkte økonomiske sanksjoner som en årsak av sensitive opplysninger kommer på avveier
- Negative følger for innbyggere som har fått sine personopplysninger på avveier
- Mangel på tillit i befolkningen som en årsak etter dårlig publisitet
- Vansker med å samarbeide med andre.
- Ansatte i kommunen blir sagt opp.
- Kommunen må bruke ekstra penger på å beklage og å rydde opp.
- Ekstra kostnader ved at kommunens prosesser må korrigeres eller kjøres på nytt.
- Kommunen kan bli saksøkt av innbyggere
- Datatilsynet kan kreve dyre oppgraderinger.
Sannsynlighet
Med sannsynlighet mener en hvor ofte eller hvor “fort gjort” en risiko kan materialiseres
Risikobildet – hva må en gjøre noe med og hva kan en leve med
Hjemstedet har ikke gjort dette tidligere og starter med tre nivåer for konsekvens sannsynlighet. For å kunne vite hvor kommunen kan legge lista for hva som anses som akseptabel og ikke-akseptabel risiko har IT-avdelingen vurdert hva de mener er akseptabel risiko. Dette blir en faktor av konsekvens og sannsynlighet angitt i tabellen under. Vurderingen av hvordan en måler og aksepterer/ikke aksepterer risiko er slik:
- Med stor risiko menes hendelser som skjer mer en to ganger i uken eller som gir betydelig økonomiske tap for kommune eller innbygger, eller et betydelig tap av renommé for kommunen. Rød farge er brukt, og det vurderes som ikke akseptabelt.
- Med moderat risiko menes hendelser som skjer mer en to ganger i måneden eller som gir økonomisk tap for kommune eller innbygger, eller tap av renommé for kommunen. Gul farge brukes, og kommunen må ha oppmerksomhet på dette.
- Med lav risiko menes hendelser som skjer mer en to ganger i halvåret eller gir et ubetydelig tap. Grønn farge benyttes, og risikoen aksepteres.
Se egen veiledning om risikostyring.
Sannsynlighet |
||||
Sjelden |
Kan skje |
Svært vanlig |
||
Konsekvens |
Liten |
Lav |
Lav |
Moderat |
Middels |
Lav |
Moderat |
Stor |
|
Stor |
Moderat |
Stor |
Stor |
Risikovurdering
Hjemstedet har startet med å vurdere risiko for virksomheten og tabellen nedenfor viser et utsnitt av risikoer. Som et tips er det viktig at en beskriver risikoer ved å bruke frasen “pga”, da ser en tydelig hva risikoen kan ende opp i og hva den kommer av.
I praksis kan kommunen bruke tabellen under som et fortløpende styringsverktøy. Etter hvert som tiltak settes inn slettes eller endres risikonivået for den enkelte risiko. Normalt kommer det til nye trusler og sårbarheten påvirket av både indre og ytre faktorer.
Rammen for risikovurderingen er: Hvordan unngå at uvedkommende får tilgang til sensitive opplysninger
# |
Risiko |
Risikovurdering |
Mulige tiltak |
||||
Konsekvens |
Sansynlighet |
Risikonivå |
|||||
1 |
Uvedkommende får aksess til kommunens lokaler som skal ha restriktiv aksess pga. dører er åpne, de ansatte er ikke opplært til å følge med om en har uvedkommende på besøk. |
Stor |
Svært vanlig |
Stor |
Opplæring av ansatte.
Vurdere låste dører på enkelte avdelinger eller kontorer |
||
2 |
Brukernavn og passord kan komme på avveie pga. ansatte kan bli lurt dersom noen ringer og sier at de jobber i en annen enhet og trenger opplysninger om en person eller en utgir seg får å være fra IT-avdelingen og trenger den informasjonen. |
Stor |
Sjelden |
Moderat |
Opplæring av ansatte | ||
3 |
Personopplysninger på avveier pga. egne ansatte er lemfeldig med behandling av personopplysninger. |
Stor |
Sjelden |
Moderat |
En oppretter og innfører en personvernpolicy
Opplæring av ansatte |
||
4 |
Informasjon på avveie pga. uvedkommende kan bryte seg inn i IT-systemet utenfra, enten på grunn av manglende sikring av nettverket, sikkerhetshull i programmer kommunen bruker eller at programmer ansatte har ikke har vært gjennom en sikkerhets kontroll nå de lastet ned på eget initiativ. |
Stor |
Kan skje |
Stor |
Helhetlig beskyttelse av nettverk og datasystemer i ht. sikkerhetpolicy
Systemer med sensitiv informasjon beskyttes bedre. Rollelbasert tilgang til IT-systemer Systemer for monitorering og deteksjoner i IT-systemer |
||
5 |
Sensitiv informasjon på avveie pga sensitiv informasjon lagres i “åpen sone”, uten ekstra beskyttelse |
Stor |
Kan skje |
Stor |
Sensitiv informasjon lagres separat med ekstra autentisering for aksessering Opplæring av ansatte |
||
6 |
Sensitiv informasjon kommer på avveier pga. kommunen kan bli offer for tilfeldige (virus/ormer/ trojanere, jakt etter ressurser osv.) der sensitive data tilfeldigvis blir oppdaget og hentet ut. |
Stor |
Kan skje |
Stor |
Helhetlig beskyttelse av IT systemer og nettverk |
Foreningen KInS, kommunal informasjonssikkerhet jobber også med dette arbeidet.