Dere har nå etablert et sett med styringsaktiviteter. Dere har også fått på plass fellessikring – et grunnleggende sett med sikkerhetstiltak for virksomhetens oppgaver og tjenester.
I løpet av de tre siste etappene har dere vært innom mye av det som etter hvert skal gå av seg selv rundtomkring i virksomheten. Den store forskjellen i tiden fremover vil være at en del av aktivitetene vil kunne gjennomføres hurtigere og med mindre ressursinnsats.
Effektiv styring av informasjonssikkerhet
Risikoeiere skal etter hvert få så god oversikt at de jevnlig kan se over det de har og vurdere behovet for grundigere vurdering av risiko. De vil jevnlig vurdere status på eget ansvarsområde. Ofte vil det ikke være behov for mer enn det.
Risikoeiere kan prioritere ressursinnsatsen til der ting er i endring:
nye oppgaver eller tjenester
nye måter å løse oppgavene på
bruk av eksterne tjenester
bruk av nye digitale systemer og tjenester
nytt regelverk
Når dere gjør ny vurdering og håndtering av risiko, passer dere på å vedlikeholde fellessikringen. På denne måten vil oppdateringer gagne alle risikoeiere, og alt det dere driver med.
Virksomhetsledelsens oppfølging
Innholdet i Virksomhetsledelsens gjennomgang vil endre karakter. Virksomhetsledelsen vil ha god kunnskap om hva informasjonssikkerhet handler om, og hvilken betydning det har for virksomhetens oppgaver og tjenester. De kan i hovedsak konsentrere seg om å vurdere om ressursbruken er passelig, om styringsaktivitetene fungerer effektivt, eller om det er ting som kan og bør gjøres bedre. De kan også prioritere sin innsats til det som er i endring: nye oppgaver eller tjenester, nye måter å løse oppgavene på, eller endringer i rammebetingelsene.
En evig loop
Dere kan tenke på etappene 5, 6 og 7 som skisse til en loop som dere i kommende år vil gå mange runder i. Denne stien har ingen ende – kun mer effektiv måloppnåelse, uten sikkerhetsbrudd som får negative konsekvenser for det virksomheten driver med, eller for andre utenfor virksomheten.
Det som Stifinneren beskriver, inneholder ikke alt i alle styringsaktivitetene. Dere må sette dere inn i resten av Internkontroll i praksis - Informasjonssikkerhet og videreutvikle det dere gjør.
Dere vil også benytte annen veiledning til å stadig forbedre arbeidet med informasjonssikkerhet.
Dere kan stille dere selv disse spørsmålene
Synes virksomhetsledelsen at de har tilstrekkelig oversikt over risiko, ressursbruk, hvilken betydning informasjonssikkerhet har for oppgavene og tjenestene, og om styringen fungerer bra?
Synes risikoeiere at de har god oversikt over hva de har ansvaret for, og er i stand til å ta gode beslutninger?
Klarer vi å gjennomføre styringsaktivitetene, spesielt vurdering og håndtering av risiko, med mindre ressursinnsats enn før?
Har vi god oversikt over sikkerhetstiltakene våre, hvem som er ansvarlig for forvaltning av dem, og om de fungerer etter hensikten?
Er det enklere å utvikle oppgaveløsningen vår nå? Er det enklere å ta inn nye oppgaver, ta i bruk nye digitale systemer eller ta bruk eksterne tjenester?
Er det enklere å håndtere behovene til, og kommunisere med, styrende organ (for eksempel overordnet departement), tilsynsmyndigheter og andre interessenter nå?
Det er nå det begynner
Det kan hende arbeidsgruppen fortsatt jobber med disse tingene – kanskje med en fagansvarlig for informasjonssikkerhet som leder an. Om dere ikke allerede har gjort det, så bør dere finne ut hvordan arbeidsgruppen skal slippe dette, og hvordan dette skal rulle videre som normal hverdag i organisasjonen.
Det kan hende dere vil gjennomføre arbeidet som et «etableringsprosjekt» i et par runder til gjennom etappe 5, 6 og 7 før arbeidsgruppen avløses. Men etter hvert vil planen for etablering eller forbedring være gjennomført - og ledelsen styrer videre inn i fremtiden, med god støtte fra fagansvarlig informasjonssikkerhet og andre i organisasjonen.
Dersom ting ikke fungerer helt som de skal, og dere mangler god oversikt over hele virksomheten, så er det helt normalt. Det tar tid å bli god på å gjøre ting på nye måter. Det tar tid å endre kulturen. Arbeid med kompetanse og kultur vil påvirke holdninger og evne. Flere runder i loopen med gjennomføring av styringsaktivitetene vil bygge erfaring i organisasjonen.
Det er nå det begynner.
Til forsiden av Internkontroll i praksis - Informasjonssikkerhet
