Fire historier om styring av informasjonssikkerhet

Styringsaktivitetene Digitaliseringsdirektoratet beskriver i denne veilederen er våre offisielle råd til forvaltningen om hvordan man bør arbeide med styring og kontroll av informasjonssikkerhet. Men hvorfor bør man gjøre det på denne måten? Hvilke behov dekker den systematikken vi anbefaler?

Det er flere roller som har et ansvar i arbeidet med styringen av informasjonssikkerhet i en virksomhet. Arbeidet med informasjonssikkerhet skal underbygge virksomhetens informasjonsbehandling og måloppnåelse. Selv om toppleder har det overordnede ansvaret for at virksomheten når målsetningene sine, vil det være ulike personer som har ansvaret for å gjennomføre styringsaktivitetene. Noen personer vil ha flere roller de må ivareta.

Ved å følge vår veiledning, vil de som har ansvaret for ulike deler av arbeidet kunne gjennomføre dette på en mer effektiv måte, der man klarer å prioritere hvor det er viktig å bruke ressursene. Her beskriver vi historien til fire personer som jobber i Direktoratet for eksempler (Deks). Disse personene fyller viktige roller i direktoratets systematiske arbeid med informasjonssikkerhet. Deks utfører oppgaver og leverer tjenester til både innbyggere og offentlige og private virksomheter, og informasjonsbehandling er et viktig element i de oppgavene som utføres.

    Turid Toppleder

    Turid Toppleder leder Direktoratet for eksempler (Deks). Hun må sørge for at direktoratet styrer risiko for sine oppgaver på en god måte. Som toppleder har hun det overordnede ansvaret, men hun kan ikke ha full oversikt over alle detaljer i direktoratet. Derfor sørger hun for å etablere styringsaktiviteter som gir henne den oversikten hun trenger for å ta beslutninger knyttet til hvordan Deks skal arbeide med informasjonssikkerhet. Dette gjør henne trygg på at direktoratet kan utføre oppgavene sine og ivareta forpliktelsene sine.

    Illustrasjon av hierarki med leder på toppen

    Sammen med ledergruppen sin har Turid utarbeidet føringer for arbeidet med informasjonssikkerhet i direktoratet. De har blant annet besluttet hvordan arbeidet skal organiseres og gjennomføres, hvordan roller og ansvar fordeles, og hvordan virksomheten skal forstå, vurdere og håndtere risiko. De startet med å gjøre en analyse av hva som allerede fungerte bra i virksomheten og hva som måtte forbedres. Ledergruppen får hele veien god støtte fra Fridtjof Fagansvarlig.

    Turid vet at det er viktig å sette tonen på toppen, og har gått i front for å formidle føringene til alle i direktoratet. I tillegg har alle som har en rolle i styringsaktivitetene fått god opplæring, slik at de vet hva som er deres ansvar, og hvor de kan henvende seg dersom de trenger støtte. Direktoratet har jobbet grundig med dette. Derfor kan Turid ha tillit til at de som har ansvar for oppgaver og tjenester gjør gode vurderinger, og at hun blir involvert når det er behov for det. Siden de holder oversikt over oppgaver og tjenester, og hvilken betydning informasjonsbehandlingen har, vet hun at de gjennomfører grundig vurdering av risiko der det er mest behov for det.

    I tillegg har direktoratet etablert fellessikring – et grunnleggende sett av sikkerhetstiltak for hele virksomheten, og de har oversikt over tilgjengelig tilleggssikring. Turid er trygg på at de som har ansvar for oppgaver og tjenester og de som er ansvarlige for sikkerhetstiltak i fellesskap håndterer risiko på en kostnadseffektiv måte.

    Turid følger opp sine ledere, og er tydelig på hva hun forventer at de skal ha oversikt over. Hun leder virksomhetsledelsens gjennomgang, og får den oversikten hun trenger for å vurdere behov for endringer. Det gjør henne også i stand til å rapportere styringsinformasjon til departementet. Denne systematiske måten å arbeide på har blitt hennes redskap for å ha styring og kontroll. Det gjør at hun kan navigere gjennom usikkerhet på vei mot virksomhetens mål.

    Fridtjof Fagansvarlig

    Fridtjof Fagansvarlig er fagansvarlig for informasjonssikkerhet i Direktoratet for eksempler (Deks). Hovedansvaret hans er å være pådriver for informasjonssikkerhetsarbeidet i direktoratet, og å støtte både ledelsen og resten av virksomheten i arbeidet.

    Illustrasjon av nøkkelperson - fagansvalig informasjonssikkerhet

    En viktig del av jobben hans er å sørge for at kommunikasjonen mellom toppledelsen, øvrig linjeledelse, og fagpersoner (f.eks. IT) fungerer godt. Fridtjof har støttet ledelsen i arbeidet med å etablere styringsaktiviteter, med klare føringer for hvordan arbeidet med informasjonssikkerhet skal gjennomføres, og kommunisere dette til de som har ansvaret for ulike deler. De som har et spesifikt ansvar har fått opplæring i de aktivitetene de skal gjennomføre.

    De som har ansvar for Deks’ oppgaver og tjenester vet hva de skal gjøre når det kommer til informasjonssikkerhet, og vet når de trenger å be om støtte fra Fridtjof. Han utarbeider statusrapporter de kan bruke når de vurderer risiko innen sine ansvarsområder. God oversikt over fellessikring og tilgjengelig tilleggssikring gjør det lett for Fridtjof å kommunisere både med de som skal styre risiko for oppgaver og tjenester og de som er ansvarlige for å forvalte sikkerhetstiltak. Dette gjør at Deks har kostnadseffektiv håndtering av risiko.

    Den gode dialogen gjør også at Fridtjof lettere kan identifisere behov for kompetanse-heving. Det kan både være behov hos de som har ansvar for styringsaktivitetene og de øvrige ansatte.

    En av Fridtjofs viktige oppgaver er å rapportere status på arbeidet med informasjonssikkerhet til ledergruppen til Turid Toppleder. Dette gjør han i virksomhetsledelsens gjennomgang. I forkant går han gjennom vurderingene de med ansvar for oppgaver og tjenester har gjort av tilstanden hos seg. Dette inkluderer også hvor de har identifisert behov for, og gjennomført, nærmere vurdering og håndtering av risiko. Sammen med annen informasjon om trusler og sårbarheter kan han skrive et godt saksnotat, og beskrive hva han anbefaler ledelsen å vurdere og ta beslutninger om for å forbedre informasjonssikkerhetsarbeidet i Deks.

    Det velfungerende, systematiske arbeidet gjør det lettere for Fridtjof å være en god støtte for ledelsen når de skal navigere gjennom usikkerhet på vei mot virksomhetens mål.

    Linus Linjeleder

    Linus linjeleder leder en seksjon i Direktoratet for eksempler (Deks). Han har ansvaret for flere viktige oppgaver i direktoratet. Dermed har han også ansvaret for å styre risiko for disse oppgavene, og arbeidet med informasjonssikkerhet er en del av dette.

    Illustrasjon av risikoeier

    Han har fått opplæring i hva som er hans rolle i det systematiske arbeidet med informasjonssikkerhet. I tillegg kjenner han Fridtjof Fagansvarlig godt, og får hjelp fra ham dersom noe er uklart, eller han trenger hjelp til å gjennomføre noen av aktivitetene.

    Da det systematiske arbeidet med informasjonssikkerhet ble etablert i Deks, tok ledelsen initiativ til at det i hele virksomheten skulle gjennomføres en foranalyse for å få oversikt over oppgaver og tjenester, og hvilke informasjonstyper som behandles i disse. De vurderte også hvor store konsekvenser informasjonssikkerhetshendelser kan få, og gjorde en overordnet vurdering av trusler, farer og sårbarheter.

    Denne oversikten gjør det lettere for Linus å styre informasjonssikkerheten for de oppgavene han har ansvaret for. Han kan dele opp ansvarsområdet sitt på en hensiktsmessig måte, slik at han ser hvor det er behov for å vurdere risiko grundigere. Når han har vurdert risiko, og det er tid for å vurdere hvordan risikoene skal håndteres, har Linus klare retningslinjer fra ledelsen om kriterier for å akseptere risiko. Han vet derfor godt hvilke risikoer han kan håndtere på egenhånd, og hvilke som må løftes til hans leder – eller helt opp til Turid Toppleder. Dette gjør risikostyringen målrettet og effektiv.

    Når han beslutter at det skal etableres sikkerhetstiltak for å redusere risiko, har Linus god oversikt over hvilke tiltak som er tilgjengelige gjennom fellessikringen og tilleggssikringen. I tillegg har han et klart bilde av hvem i virksomheten som er ansvarlig for ulike typer sikkerhetstiltak, slik at det er lett å ta kontakt med dem for å få utformet sikkerhetstiltak. Noen ganger har disse også deltatt i selve vurderingen av risiko, fordi de vet mye om sårbarheter og hvor sannsynlig det er at hendelser inntreffer. Dersom noe er utfordrende, kan Fridtjof Fagansvarlig bidra for å lette kommunikasjonen.

    En gang i året gjør Linus en vurdering av status på sitt ansvarsområde. Han vurderer da om han og hans medarbeidere gjennomfører styringsaktivitetene på en god måte, om planlagte sikkerhetstiltak etableres, forvaltes og fungerer som planlagt, og om de etterlever regelverk. Slik ser Linus om det er behov for å gjøre noen endringer.

    Resultatet av Linus’ vurdering er også en vesentlig del av Fridtjof Fagansvarlig sin rapportering til virksomhetsledelsen. Slik bidrar Linus også til at ledelsen kan navigere gjennom usikkerhet på vei mot virksomhetens mål.

    Linus er risikoeier

    Begrepet risikoeier brukes om alle ledere med ansvar for arbeidsoppgaver og tjenester rundt om i virksomheten. De er ansvarlig for utføring av arbeidet og de mål som skal nås. De bør da også eie – og være ansvarlig for å identifisere, vurdere og håndtere – risikoer innen eget ansvarsområde.

    Trine Tiltaksleverandør

    Trine Tiltaksleverandør jobber i en del av Direktoratet for eksempler (Deks) som leverer sikkerhetstiltak til ulike deler av virksomheten.

    Illustrasjon av tiltaksleverandør

    Hun har fått opplæring i hva som er hennes rolle i det systematiske arbeidet med informasjonssikkerhet. I tillegg har hun god kontakt med Fridtjof Fagansvarlig, som hjelper henne i kommunikasjonen med de som har en rolle i styringsaktivitetene rundt i virksomheten, og med toppledelsen.

    Når det er behov for det, bidrar Trine i vurdering av risiko, og arbeidet med å foreslå hva som kan gjøres for å håndtere risiko. Fordi hun kjenner sitt område godt, kan hun bidra med informasjon om sårbarheter og risiko som kan være relevant.

    Fordi Deks har etablert fellessikring og tilgjengelig tilleggssikring, har hun god oversikt over hvilke sikkerhetstiltak de allerede har tilgjengelig. Det gjør det lettere å kommunisere med risikoeiere om håndtering av risiko. Det gjør det også lettere å etablere sikkerhetstiltak som ikke allerede finnes.

    Når sikkerhetstiltak skal etableres, er det Trine som er ansvarlig for å utforme og etablere tiltakene innen sitt fagområde, i samarbeid med risikoeierne. Hun er også ansvarlig for å forvalte sikkerhetstiltakene, og vurdere om de fungerer etter hensikten, og rapportere status videre slik at denne informasjonen både kan benyttes i Fridtjof Fagansvarligs forberedelser til virksomhetsledelsens gjennomgang, og i virksomhetens framtidige vurdering av risiko.

    Trine bidrar med fagkompetanse og leverer og forvalter sikkerhetstiltak, og er en veldig viktig del av arbeidet når ledelsen skal navigere gjennom usikkerhet på vei mot virksomhetens mål.

    Felles tiltaksleverandører

    En virksomhet har mange tiltaksleverandører som leverer tiltak til hele virksomheten. Vi kaller dette felles tiltaksleverandører. Disse er ansvarlige for sikkerhetstiltak til en rekke ulike risikoeiere og systemeiere. Typiske felles tiltaksleverandører er IKT-drift, systemleverandører, bygningsansvarlig og personalseksjon. De kan levere både organisatoriske, menneskelige, fysiske og teknologiske tiltak.

    Tiltaksleverandører kan også være eksterne. For eksempel kan IT-drift være satt ut til et eksternt datasenter, eller det kan være et eksternt selskap som står for drift av bygningen man har lokaler i.

    Kompetansebeskrivelser

    Mer informasjon om hvilket ansvar, arbeidsoppgaver og kompetansebehov som kan inngå i ulike roller innen styring og kontroll av informasjonssikkerhet finner du i våre kompetansebeskrivelser.

    Kompetansebeskrivelser for roller innen styring og kontroll av informasjonssikkerhet

    Har du kommentarer eller spørsmål? Ta kontakt!

    Kompetansemiljø for informasjonssikkerhet