Alle er enige om at informasjonssikkerhet er viktig. Like fullt får man ofte inntrykk av at det er vanskelig og vrient å lykkes med. Hva informasjonssikkerhet handler om, kommer litt an på hvem du er, og hvilken rolle du har. Vi skal se litt nærmere på hva styring av informasjonssikkerhet handler om i staten.
Det som er viktig for et departement påvirker i stor grad hva ledelsen i underliggende virksomhet legger vekt på å få til. Det som er viktig for ledelsen påvirker hva resten av organisasjonen bruker energien sin på. Tonen på toppen er avgjørende for om statsforvaltningen lykkes med informasjonssikkerhet.
Virksomhetsboksen
Statsforvaltningen er delt inn i virksomheter. På denne måten deler vi opp ansvar for statens oppgaver og tjenester. Plikter i regelverk retter seg til virksomheter og de som er satt til å lede dem. En virksomhet er en slags boks med oppgaver, ansvar og plikter inni. Personen som har jobben med å sørge for alt blir ivaretatt inni sin virksomhetsboks kalles ofte toppleder.
Informasjonsfabrikker
Å styre risiko handler om å benytte tilgjengelig kunnskap til å ta gode beslutninger om bruk av virksomhetens begrensede ressurser til å styre inn i en usikker fremtid – for å nå de målene man navigerer mot.
Mange statlige virksomheter er «informasjonsfabrikker», hvor informasjonsbehandling er kjernen i de fleste oppgavene og tjenestene som utføres. Øvrige oppgaver og tjenester er som regel helt avhengige av informasjonsbehandling de også.
Informasjonssikkerhet handler om å styre risiko ved bruk av informasjonssystemer i oppgaveløsningen.
En digital verden
Forvaltningen er på en reise i en digital verden, hvor bruk av digital teknologi og digitale tjenester har stor og økende betydning for oppgavene som skal utføres og målene som skal nås. Digital sikkerhet er derfor en sentral og viktig del av arbeidet med informasjonssikkerhet – det handler om å styre risiko for de aktivitetene som er avhengige av de digitale løsningene.
Arbeidet med informasjonssikkerhet må selvfølgelig være med i tjenesteutvikling og alle vesentlige endringer i oppgaveløsningen – enten det er snakk om nye oppgaver eller tjenester, nye informasjonstyper som behandles, nye måter å løse oppgavene på, ny teknologi som tas i bruk, eller nye leverandør-/partnerforhold.
Konsekvensene ved dårlig informasjonssikkerhet kan bli så store at det ikke er mulig å lykkes med digital transformasjon uten å arbeide godt med informasjonssikkerhet. Styring og kontroll på informasjonssikkerhetsområdet har så stor betydning for måloppnåelsen at det er viktig at departementene følger det opp som en del av helhetlig styring og kontroll i virksomhetene.
«One size fits none»
Statlige virksomheter er ulike. Hvordan, og i hvilken grad, informasjonssikkerhet følges opp av etatsstyrer må tilpasses egenart, risiko og vesentlighet. Det er det samme som med all annen etatsstyring.
Oppfølging av informasjonssikkerhet er i grunnen bare en liten utvidelse av spørsmål som etatsstyrere er vant til å tenke på:
- Hvilken betydning har oppgavene og tjenestene virksomheten har ansvaret for?
- Hvilken betydning har informasjonsbehandling for disse oppgavene og tjenestene?
- Hva kan konsekvensene bli ved informasjonssikkerhetsbrudd i oppgaver og tjenester?
- I hvilken grad kan informasjonssikkerhetsbrudd få konsekvenser for virksomheten selv, eksempelvis for virksomhetens økonomi og tjenestenivå og for ansatte?
- I hvilken grad kan informasjonssikkerhetsbrudd få konsekvenser for andre: innbyggere, andre virksomheter, samfunnsfunksjoner eller nasjonale sikkerhetsinteresser?
- Hvilken betydning har digitale tjenester og bruk av informasjonsteknologi for oppgaveløsningen?
- Er rammevilkårene i endring? (strategiske valg, oppgaveportefølje, regelverk og teknologisk utvikling)
- Hva er virksomhetens behov for utvikling og innovasjon, og hvilken betydning har informasjonssikkerhet i tilknytning til dette?
Etats- og virksomhetsstyring
Toppleder har ansvaret for å styre risiko i sin virksomhet, og er ansvarlig for organisering av arbeidet og innholdet i styringsaktivitetene i sin virksomhetsboks. Styringssystemet er redskapet toppledelsen bruker for å sørge for at virksomheten kan utføre sine oppgaver og levere tjenester på en god måte.
Departementet har overordnet ansvar for å følge opp at underliggende virksomheter har tilstrekkelig styring og kontroll. Etatsstyrer følger opp at de er i stand til å styre risiko for oppgaveløsningen og ivareta lovpålagte plikter, uten at det er nødvendig å kjenne til alle detaljer i innholdet i styringssystemet.
Det kan sammenliknes med forholdet mellom et styre og daglig ledelse i en privat virksomhet - «governance» og «management». Toppleder er både involvert i langsiktig strategisk styring i samarbeid med departementet og daglig ledelse av egen virksomhet.
I 2018 publiserte Difi en rapport om arbeidet med informasjonssikkerhet i statsforvaltningen. En av konklusjonene var at én av tre statlige virksomheter ikke har tilstrekkelig styring og kontroll på informasjonssikkerhet, og departementene etterspør i for liten grad status på arbeidet med informasjonssikkerhet i underliggende virksomheter.
God styringsdialog
En dialog har to parter – og det er behov for kompetanse og gjensidig tillit for å lykkes med god dialog.
Etatsstyrer avhengig av å få god styringsinformasjon fra ledelsen i underliggende virksomhet for å være i stand til å ivareta departementets overordnede ansvar. En virksomhet som har god styring og kontroll har en ledelse med mye kunnskap om risiko, god innsikt i status og modenhet på eget arbeid, og som tar initiativ til å gi departementet nødvendig informasjon. All den styringsinformasjonen de allerede har for styring av egen virksomhet danner grunnlaget for dialog med departementet, og rapportering av det som departementet har behov for.
Dialogen om informasjonssikkerhet inngår i den ordinære styringsdialogen: i instruks, tildelingsbrev, årsrapport og etatsstyringsmøter.
Ny veiledning om oppfølging av informasjonssikkerhet i styringsdialogen
Digitaliseringsdirektoratet, Direktoratet for forvaltning og økonomistyring (DFØ) og Nasjonal sikkerhetsmyndighet (NSM) har sammen utviklet veiledning om informasjonssikkerhet i etatsstyringen. Den fungerer som et supplement til øvrig veiledning om etatsstyring, og bør brukes av både departement og underliggende virksomhet for å få til en god styringsdialog.
Det består av en mini-veileder som setter informasjonssikkerhetsarbeidet i sammenheng med etatsstyring og virksomhetsstyring, og et dialogverktøy som gir noe håndfast og praktisk å gripe fatt i. Dialogverktøyet inneholder mye, fra helt overordnet til ganske detaljert, og kan gi god oversikt over hva informasjonssikkerhetsarbeidet innebærer på ulike detaljeringsnivå i en virksomhet.
Veiledningen kan bidra til å belyse hovedspørsmålene etatsstyrer sitter med:
- Redegjør de for risiko på en god måte?
- Har de et omfang og en ressursbruk på arbeidet med informasjonssikkerhet som står i stil med de oppgavene og tjenestene de har ansvaret for?
- Får de det til?
Selv om veiledningen er utarbeidet med tanke på etatsstyringen i staten, så kan den også benyttes av kommuner og fylkeskommuner. Det er egnet til generell kompetanseheving for de som har styringsansvar, og der det er liknende samspill mellom styrende organ og virksomhet med ansvar for egen styring og kontroll kan det benyttes til å styrke dialogen mellom disse.
På tvers av virksomhetsboksene
Forvaltningen skal bygge sammenhengende tjenester på tvers av virksomhetsboksene i et felles økosystem for nasjonal digital samhandling og tjenesteutvikling, ofte på infrastruktur og teknologi som eies og drives av andre, som binder sammen offentlige tjenester og innbyggere ved bruk av et globalt nettverk.
Vi vil være avhengig av gode måter å gå opp ansvarsgrenser og effektiv samstyring av risiko. Det som er vrient å lykkes med inni virksomhetsboksene kan enda bli mer komplekst og vanskelig på tvers av virksomhetene. I tillegg er det økende grad av avhengighet til eksterne – det være seg felleskomponentforvaltere, eller globale leverandører av teknologien som fremtidens tjenester i stor grad vil bygges på.
Alle utfordringene kan ikke løses av bedre styring i den enkelte virksomhet. På informasjonssikkerhetsområdet vil det blant annet kunne være noe å hente i mer samkjøring av ulike ting på tvers – men det vil kunne kreve andre regelverksendringer enn det som ble foreslått i NIS-lovforslaget som var på høring i 2018.
Departementsfellesskapet samordner seg bedre om det mellomlange perspektivet, modeller for samarbeid og samstyring er sentralt tema i nasjonale strategier, og utenfor staten er det kommuner som jobber med samarbeidsdrevet innovasjon og samstyring. Om vi har med oss samstyring av risiko generelt, og informasjonssikkerhet spesielt, i transformasjonen av forvaltningen, så er det mulig å dra i positiv retning.
Tonen på toppen
Mye har vært skrevet om disse tingene fra ulike perspektiver og mange av utfordringene har vært godt utredet. Likevel – hva opplever du som det største hinderet for å lykkes bedre med styring av informasjonssikkerhet i forvaltningen?
En ting er i hvert fall sikkert: tonen på toppen har stor betydning.
Remi Longva
Remi har lang erfaring med informasjonssikkerhet og IT fra privat sektor. I Digitaliseringsdirektoratet har han vært med å utvikle veiledning om styring av informasjonssikkerhet i offentlige virksomheter og veiledning om oppfølging av det i styringsdialogen mellom departementer og underliggende virksomheter. Han har erfaring med mange områder innen informasjonssikkerhet, men arbeider nå spesielt med styring og kontroll og oppfølging av digitaliseringsstrategien og nasjonal strategi for digital sikkerhet.
Forfatter
