Sikkerhetsledelse


I denne veiledningen ser vi nærmere på ledelse av informasjonssikkerhetsarbeidet.

Innledning

Sikkerhetsledelse dreier seg om å styre sikkerhetsarbeidet slik at det bidrar så effektivt som mulig til å nå virksomhetens mål. Mer konkret handler sikkerhetsledelse om å vurdere, beslutte og følge opp tiltak for å avdekke og redusere sikkerhetsrisikoen. Sikkerhetsledelse skal bidra til å beskytte bedriftens verdier, informasjon og styrke evnen til å løse prioriterte oppgaver.

Informasjonssikkerhet er et løpende og langsiktig arbeid, som ikke alltid gir raske resultater. Virksomhetens leder er ansvarlig for informasjonssikkerheten i bedriften. Prioriteringer og styring av risiko knyttet til informasjonssikkerhet må derfor forankres hos ledelsen og ledelsen må vise engasjement i arbeidet.

Risikobasert

Sikkerhetsrisiko oppstår som følge av at kriminelle aktører er i stand til å finne og utnytte våre sårbarheter for å stjele, ta kontroll over eller ødelegge virksomhetens verdier. Arbeidet med informasjonssikkerhet må derfor tilpasses virksomhetens egenart og markedet bedriften opererer i. Kjennskap til eget risikobilde står helt sentralt i dette arbeidet.

Å gjennomføre systematiske risikovurdering gir mange positive effekter. Ved oppstart av en risikovurdering er det viktig å skaffe seg god oversikt over hvilke verdier, informasjon og IKT tjenester som er av avgjørende betydning for driften, forholdet til kunder, egen markedsposisjon og virksomhetens evne til å videreutvikle sine tjenester og produkter.

IKT-truslene utvikler seg raskt og det blir fort krevende å holde oversikt over de. Bedrifter og offentlige virksomheter bør derfor søke samarbeid og påse at de anskaffer sine IKT tjenester fra leverandører som forstår trusselbildet, er raske til å fjerne sårbarheter og har mekanismer for å avsløre IKT hendelser. Samtidig er kunnskap om sosial manipulering noe virksomhetene må holde sine egne ansatte godt oppdatert på. Mangelfulle krav til sikkerhet i IKT-leveranseavtaler og mangelfull opplæring av ansatte er eksempler på sårbarheter.

Ledelsen må beslutte akseptabelt risikonivå og risiko for ulike deler av virksomheten bør sees i sammengheng.
Se også veiledning om risikostyring.

Sikkerhetsdokumentasjon

En viktig del av sikkerhetsledelsesarbeidet er å dokumentere krav og retningslinjer til informasjonssikkerhet. En sikkerhetspolicy vil normalt utgjøre øverste nivå og skal beskrive hvorfor det stilles krav til sikkerhet. I tilegg er det nødvendig med mer detaljerte retningslinjer som beskriver hvilke tiltak som kreves for at policy skal oppnås (hva). Gjerne er det også nødvendig med mer detaljerte instruksjoner eller veiledninger som støtter bruk av sikkerhetstiltakene (hvordan).
Se også veiledning om hvordan lage sikkerhetspolicy.

Opplæring og bevisstgjøring

Alle medarbeidere må gjøres kjent med virksomhetens sikkerhetspolicy og de viktigste retningslinjene. Det er viktig å planlegge og å gjennomføre løpende opplæring og bevisstgjøring av informasjonssikkerhet for alle medarbeidere. Mange sikkerhetshendelser kan bare unngås ved hjelp av bevisste medarbeidere. Ledelsen er viktige rollemodeller. Dersom ledelsen, ved sine handlinger, viser at rutiner og regler for sikkerhet ikke gjelder for dem, vil heller ikke ansatte bry seg om sikkerhet i sitt daglige arbeid.

Nettsvindel, utpressing og informasjonstyveri innledes ofte med at ansatte og ledere manipuleres til å sende fra seg informasjon, foretar pengeoverføringer eller åpner tilgang eller bakdører til bedriftens IKT-tjenester, uten at de selv er klar over at noe ulovlig pågår. Deling av informasjon om trusler og sikkerhetshendelser er et viktig og effektivt hjelpemiddel for å håndtere sikkerhetsrisiko. Erfaringer fra en kollega, en konkurrent eller samarbeidspartner kan være av avgjørende betydning for å forebygge og tilpasse egne sikkerhetstiltak. Bekjempelse av kriminalitet er et felles ansvar og gir positive utslag på bunnlinjen for alle som inngår i samarbeidet.

Oppfølging

For å følge opp ledelsens eierskap må sikkerhet inngå i etablert ledelsesoppfølging. Dette sikrer rapportering og bevisstgjøring om status for viktig risiko. Ledelsen må etablere et klima som sikrer at alle sikkerhetshendelser blir rapportert og vise at disse danner grunnlaget for et systematisk forbedringsarbeid. På denne måten kan man følge opp om det vedtatte sikkerhetsnivået er tilfredsstillende, og om iverksatte tiltak virker som forventet. Enhver leder som setter mål for oppfølging, bør også ha konkrete risikoforbedringer som viktige mål. På denne måten vil effektive sikkerhetstiltak gi konkrete resultat.

Når uhellet er ute

Til tross for gode rutiner og tekniske installasjoner for å sikre virksomheten kan en likevel bli utsatt for hendelser som kan få store negative konsekvenser for virksomheten, en havner i en krisesituasjon. I slike tilfeller er det viktig at en vet hva en skal gjøre for å unngå eller dempe de negative konsekvensene for virksomheten. Da er det viktig å ha en kriseplan. Utarbeidelse av virksomhetens kriseplaner, øving på om kriseplanen virker, organisering og beskrivelse av hva hver enkelt skal gjøre ved en krise, er en del av ansvaret for sikkerhetsledelsen. Se forøvrig veiledningen om planlegging og gjennomføring av IKT-øvelse. Digitale sikkerhetshendelser skal i tillegg rapporteres til Datatilsynet. Mer informasjon om det finner du på Datatilsynet sine nettsider.

Mer informasjon om sikkerhetsledelse

Standarden NS-ISO/IEC 27002 omhandler styring av informasjonssikkerhet, og kan kjøpes hos standard.no.

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.