Kompetanse- og kulturutvikling er «læraren» i internkontrollen. Tilstrekkeleg kompetanse og ein god sikkerheitskultur er nødvendig for at styring av informasjonssikkerheit skal fungere.
Målgruppe
Fagansvarleg informasjonssikkerheit
heile skildringa
Personar som skal førebu eller leie enkeltaktivitetar
Å ta hand om informasjonssikkerheit i ei verksemd er eit stort felt. Ulike roller har ulike oppgåver og perspektiv på det som skal gjerast. Det kan vere mange ulike typar kompetanse involverte, og store forskjellar i kompetansebehov. Det spenner til dømes over
verksemdsstyring
styring av risiko for verksemda sine oppgåver og tenester
regelverksforståing
forvalting av tryggingstiltak av mange typar på tvers av oppgåver og tenester
teknisk forståing for detaljar i digital teknologi og digitale system
Behovet for kompetanse vil også variere ut frå kva verksemda driv med, eigenarten hennar, grad av tenesteutsetjing og andre tilhøve.
Menneske med ulike roller må ha nødvendig kunnskap, vere medvitne på kvifor informasjonssikkerheit er viktig, ha grunnleggjande forståing for kva det handlar om.
Alle tilsette må kunne utføre dei daglege oppgåvene sine på ein måte som tar hand om behovet for informasjonssikkerheit.
1.1 Ein avgjerande del av internkontrollen
Kompetanse er dei samla kunnskapar, ferdigheiter, evner og haldningar som gjer det mogleg å gjere aktuelle oppgåver i tråd med definerte krav og mål.
Linda Lai, Strategisk kompetanseledelse, 3. utgåve, Fagbokforlaget, 2013
Både kompetanse og kultur er ein avgjerande del av arbeidet med styring av informasjonssikkerheit. Organisasjonskultur er den uoffisielle påverknaden som skjer mellom tilsette. Han blir ofte omtalt som «slik gjer vi det hos oss».
Ved å auke kompetansen til dei tilsette om informasjonssikkerheit og internkontroll, og forklare dei kvifor informasjonssikkerheit er viktig i deira arbeidskvardag, underbyggjer ein ein god sikkerheitskultur i verksemda. Dei tilsette må kjenne dei styringsaktivitetane som er vesentlege for dei, og få nødvendig opplæring. Kva som er vesentleg vil variere ut frå kva rolle ein har i verksemda.
Organisasjonskulturen må også understøtte etterleving og forbetring av krav og tryggingstiltak. Det vil også seie identifisering, justering og fjerning av krav og tiltak som har liten nytte, eller som gjev negative sideeffektar for alle eller delar av organisasjonen.
1.2 Kontinuerleg aktivitet for å redusere risiko
Kompetanse- og kulturutvikling er ein kontinuerleg aktivitet og prosess. Leiinga til verksemda må ta stilling til om organisasjonen har nødvendig kompetanse og ein velfungerande organisasjonskultur ein skal oppretthalde og forsterke, eller om det er behov for endringar.
Dette må skje i heile organisasjonen. Som ein del av dette vil det vere behov for aktivitetar retta mot å heve kunnskap, medvitsgjering og forbetre ferdigheiter. Å syte for tilstrekkeleg informasjon, opplæring og kulturutvikling er tiltak for å redusere risiko.
1.3 Aktivitetar
Under følgjer ei skildring av kvar av styringsaktivitetane som inngår i kompetanse- og kulturutvikling. Leiarar på alle nivå må:
Identifisere behov løpande
Følgje opp behova systematisk
Fagansvarleg informasjonssikkerheit må:
Følgje opp lokale sikkerheitskoordinatorar
I tillegg er både leiarar på alle nivå og fagansvarleg informasjonssikkerheit ansvarlege for at det blir gjennomført øvingar.
Det er viktig å oppretthalde kompetansen og vedlikehalde ein organisasjonskultur der dei tilsette på alle nivå er medvitne ansvaret sitt for informasjonssikkerheita og kjenner rolla si i styringsaktivitetane.
Å identifisere behov for kompetanse- og kulturutvikling er viktig i leiararbeid på alle nivå. Det må også omfatte behov innan informasjonssikkerheit, til dømes:
Forståing av kva informasjonssikkerheit handlar om
Forståing av kva informasjonssikkerheit har å bety for arbeidsoppgåvene til kvar enkelt
Forståing og gjennomføring av styringsaktivitetane
Forståing og etterleving av krav, prosedyrar, rutinar og andre tryggingstiltak
2.2 Behovet endrar seg
Behovet for kompetanse- og kulturutvikling innan informasjonssikkerheit vil endre seg over tid. Dei første åra ein arbeider systematisk med styring av informasjonssikkerheit, kan det vere nødvendig med hyppigare opplæringsaktivitetar for å heve kompetansen til eit tilstrekkeleg nivå, og for å skape ein god sikkerheitskultur i verksemda.
Døme på hendingar som kan føre til at behovet endrar seg er at ein får nye tilsette, kompetansen til dei tilsette endrar seg, eller at eksterne krav eller risikobiletet endrar seg. Ein kan også ha behov for å arbeide med å forbetre sikkerheitskulturen.
I tillegg vil det vere behov for opplæring når ein innfører nye system eller tenester, eller gjer større endringar på system eller arbeidsoppgåver. Det er viktig at informasjonssikkerheit inngår som ein del av denne opplæringa.
2.3 Identifisering av behov
Identifisering av behov for kompetanse- og kulturutvikling bør ein gjere løpande som ein del av internkontrollarbeidet i verksemda. Behova kan ein identifisere gjennom ulike aktivitetar, til dømes:
risikovurderingar
revisjonar, evalueringar og kartleggingar
gjennomgang frå verksemdsleiinga
erfaring frå øvingar eller hendingshandtering
plikter i samsvar med lov eller avtale
I tillegg er formelle og uformelle medarbeidarsamtalar og observasjonar i gjennomføring av arbeidet viktige kjelder. Å syte for tilstrekkeleg informasjon og opplæring må reknast og behandlast som eit tiltak for å redusere risiko.
Hjelp til gjennomføring
Når ein arbeider med kulturutvikling, kan det vere føremålstenleg å kartleggje sikkerheitskulturen til verksemda. «Veileder for kartlegging av digital sikkerhetskultur» skildrar ein metode for kartlegging og korleis denne metoden kan takast i bruk av den enkelte verksemda.
Digitaliseringsdirektoratet har utarbeidd eit sett med kompetanseskildringar for aktuelle roller som jobbar med styring av informasjonssikkerheit i ei verksemd. Desse kompetanseskildringane kan brukast av ulike ressursar i verksemda når ein skal tilsetje nye personar, eller ein skal kartleggje om ein har tilstrekkeleg og ønskt kompetanse i verksemda. Dette kan vere verksemdsleiinga, fagansvarleg informasjonssikkerheit, leiarar i ulike posisjonar etc. Kompetanseskildringane skal kunne inngå i den rettleiinga og støtta som personalavdelinga i offentlege verksemder gjev til leiing og tilsetjingsråd i tilsetjingsprosessar.
Når ein har identifisert behov for kompetanseheving og/eller kulturutvikling, må ein møte dette behovet ved å gjennomføre tiltak. Digitaliseringsdirektoratet sin rettleiar «Veileder i kompetanse- og kulturutvikling innen digital sikkerhet» tar mellom anna for seg korleis ein kan byggje opp eit heilskapleg opplæringsprogram. Følgjande er vesentleg når ein skal planleggje og gjennomføre opplæringstiltak:
Kartleggje behov – setje i gang på relevante område
Velje målgruppe
Ta i bruk passande tiltak
Tenkje heilskapleg – sjå tiltak i samanheng (både opplæring innan informasjonssikkerheit og anna opplæring i verksemda)
Måle effekten av tiltak
3.2 Variasjon i verkemiddel
Digitaliseringsdirektoratet rår til å ta i bruk ulike verkemiddel, slik at det blir variasjon i opplæringa. Med verkemiddel meiner vi her til dømes kurs, føredrag, e-læringskurs, plakatar osv. Dette fordi ein kan få betre effekt ved å bruke ulike kanalar, og fordi det varierer frå person til person kva verkemiddel som treff. Avhengig av målgruppe, tema og forkunnskapar kan opplæringa vere i form av alt frå kortfatta informasjon i brosjyrar, plakatar etc. til eigne kursopplegg.
I tillegg bør ein alltid vurdere kva som bør gjennomførast på verksemdsnivå, i enkelte organisatoriske einingar, for mindre grupper eller enkeltpersonar.
Ved å behandle opplæring som eit tiltak blir risikoeigarar sentrale målgrupper for tilbakemeldingar om effekten av opplæringa.
3.3 Lokal oppfølging
Vi rår til at verksemdene peikar ut lokale sikkerheitskoordinatorar, avhengig av storleiken og organiseringa på verksemda. Desse kan hjelpe og bidra i arbeidet med å følgje opp behova for kompetanse- og kulturutvikling lokalt.
Hjelp til gjennomføring
Digitaliseringsdirektoratet sin Veileder i kompetanse- og kulturutvikling innen digital sikkerhet handlar om korleis ein arbeider med å utforme eit heilskapleg opplæringsprogram innan informasjonssikkerheit i verksemda. Vi rår til at ein baserer seg på denne rettleiaren når ein arbeider med kompetanse og kulturutvikling i verksemda.
For å sikre god effekt av lokale sikkerheitskoordinatorar, bør fagansvarleg informasjonssikkerheit ha jamlege møte med dei slik at dei kan dele erfaringar og lære av kvarandre. Dette er ein viktig del av kompetanse- og kulturutviklinga til denne gruppa. Det vil ofte ha stort indirekte omfang for både innstillinga til leiarane og det praktiske arbeidet med internkontroll og informasjonssikkerheit rundt om i verksemda.
4.2 Samarbeid og koordinering av arbeidet
Fagansvarleg informasjonssikkerheit bør kalle dei lokale sikkerheitskoordinatorane inn til jamlege samlingar. Målet med samlingane er å
formidle kunnskap
dele erfaringar
få betre innsikt i utfordringar til verksemda
lære av kvarandre.
Aktuelle tema vil vere
dei lokale sikkerheitskoordinatorane si eiga kompetanseheving innan informasjonssikkerheit og internkontroll
kompetanse- og kulturutfordringar rundt om i verksemda
innspel og råd til gjennomgangen til verksemdsleiinga
innspel og råd til fellestiltak i verksemda
innspel og råd til sentralstyrte tiltak inn mot organisatoriske einingar eller grupper
Lengda på samlingane, og kor mange samlingar som skal gjennomførast årleg, bør avgjerast i samråd mellom fagansvarleg informasjonssikkerheit og dei lokale sikkerheitskoordinatorane. Dette vil naturleg bli påverka av statusen på verksemda og utfordringar innan informasjonssikkerheit og internkontroll på området.
Øvingar er viktige for å auke verksemda si evne til å handtere informasjonssikkerheitshendingar. Dei bidreg også til å styrke samarbeidet mellom dei tilsette, og med andre relevante aktørar. Vi tilrår å bruke øvingar for å sikre eit godt kompetansegrunnlag og ein god organisasjonskultur. I tillegg er øvingar ei viktig kjelde til informasjon om kva som bør betrast i arbeidet med informasjonssikkerheit.
Det er ei rekkje fordelar med å gjennomføre øvingar, til dømes:
Øvingar aukar kompetansen og kunnskapen til dei tilsette knytt til handtering av hendingar. Når fleire tilsette får opparbeidd gode ferdigheiter knytte til hendingshandtering, aukar føresetnadene til verksemda for å handtere reelle situasjonar.
Gjennomføringa kan avdekkje kor vidt det er behov for å hente inn meir ressursar til verksemda. Dette er viktig å vurdere når ein skal evaluere øvinga.
Øvingar gjev tilsette god trening i å samarbeide. Om øvinga er av større skala kan ho også gje god trening i å samarbeide på tvers av seksjonar eller avdelingar i verksemda.
Øvingar kan også brukast for å avdekkje behov for kompetanseheving og kulturutvikling i verksemda. Dette er også viktig å vurdere når ein skal evaluere øvinga.
Det er viktig at øvinga blir godt planlagd, og at ho blir evaluert i etterkant.
5.2 Val av øving
Det finst ulike typar øvingar, til dømes funksjonsøvingar, diskusjonsøvingar, speløvingar og fullskalaøvingar. Det er tilrådd å variere øvingane og scenarioa som brukast. Dette må tilpassast den enkelte verksemda og målgruppe. Små øvingar med avgrensa omfang og ressursbruk kan gje stor nytte. Diskusjonsøvingar er ofte godt eigna for regelbundne øvingar i mindre skala.
I ei diskusjonsøving diskuterer deltakarane ei problemstilling på bakgrunn av eit valt scenario. Meininga med ei slik øving er at deltakarane i fellesskap skal få høve til å diskutere seg fram til korleis det er naturleg å handtere ulike former for hendingar.
Hjelp til gjennomføring
I samarbeid med mellom anna Digitaliseringsdirektoratet har Direktoratet for samfunnssikkerheit og beredskap (DSB) og NTNU etablert ovelse.no, ein øvingsportal som skal sikre at verksemder i Noreg får eit øvingstilbod innan informasjonssikkerheit og digital sikkerheit.
