Velkommen til starten av Stifinneren. Her skal dere skaffe dere litt oversikt før dere setter ut på første etappe.
Oppstart
Dere som befinner dere her, er her av ulike årsaker. Noen prøver å dra i gang noe, som de senere skal få ledelsen til å synes er en god idé. Andre er her på oppdrag fra ledelsen. Noen ganger er ledelsen selv-motivert, andre ganger har de fått et spark fra en tilsynsmyndighet, eller det har vært hendelser som har gitt dem for mye negativ oppmerksomhet.
I noen tilfeller vil det være fagpersoner som starter opp og jobber seg gjennom starten av Stifinneren. De av dere som gjør det vil se hvor det er vesentlig at virksomhetsledelsen kommer på banen, og hvilken holdning de er nødt til å ha til dette arbeidet, dersom de skal lykkes med det dere skal hjelpe dem med.
I noen virksomheter vil dette være en del av en bredere oppbygging eller forbedring av styring og kontroll generelt – hvor informasjonssikkerhet er én av bitene.
Kulturreise
Det vil uansett være stor sannsynlighet for at det er like mye en kulturreise, som en informasjonssikkerhetsreise. Ledelsen og andre deler av organisasjonen skal gjennom en modningsprosess, og komme fram til nye måter ting skal fungere på hos dere. Dere må ikke undervurdere betydningen av dette.
Arbeidsgruppe
En gruppe er mer enn én
I beskrivelsene av etappene dere skal ut på, benyttes begrepet «arbeidsgruppe» om de personene som skal ha oversikten og drive arbeidet framover.
Dersom det er bare én person, bør du forsøke å finne noen andre som kan bidra inn i «arbeidsgruppa». Det er mye ulik kompetanse som vil være nyttig å ha, og en gruppe på to er bedre enn én person alene.
God faglig forståelse
Arbeidsgruppen må ha god forståelse for tilnærmingen som ligger til grunn for denne veiledningen, konseptene som benyttes i den, og god innsikt i eksisterende styringsaktiviteter i virksomheten.
Sørg for opplæring av alle deltakerne i arbeidsgruppa. Dere må sette dere inn i, og diskutere, tilnærmingen, konseptene og begrepene som benyttes i Internkontroll i praksis - Informasjonssikkerhet.
Dere må ha god forståelse for hvilken reise dere skal ut på, og omtrent hvordan ting skal se ut når dere er ferdig med alle etappene.
Tips på veien
Samarbeid med andre virksomheter
Dere bør vurdere om det er aktuelt å samarbeide med andre virksomheter. Dere kan dra nytte av hverandres erfaringer, og få flere personer å diskutere problemstillinger med. For eksempel kan kommuner som allerede har etablert inter-kommunalt samarbeid dra nytte av dette. Det er også mulig å samarbeide selv om virksomhetene ikke ligger geografisk nært hverandre. Kanskje har andre virksomheter oppgaver og tjenester som likner på de dere har? Eller dere har de samme utfordringene med styring av informasjonssikkerhet?
Arbeid langs to spor
Dere vil sannsynligvis jobbe langs to parallelle spor:
Etablering av styringsaktivitetene
Etablering av et grunnleggende sett med sikkerhetstiltak (fellessikring)
Den første av disse er hovedsaken med Stifinneren. Etablering av sikkerhetstiltakene som skal inngå i fellessikringen kan være en omfattende og langvarig aktivitet. Det vil kunne foregå samtidig med etableringen av styringsaktivitetene. Vær likevel oppmerksom på at oppstarten av arbeidet med fellessikring er avhengig av at en del av de andre tingene er på plass først.
Styringsaktiviteter og etableringsaktiviteter
I perioden hvor dere skal etablere/forbedre denne måten å styre informasjonssikkerhet på vil dere gjennomføre både etablerings- og styringsaktiviteter. Stifinneren hjelper dere til å gjennomføre begge deler.
Styringsaktiviteter er et sett med aktiviteter som skal rusle og gå, og utføres jevnlig og systematisk rundt omkring i virksomheten. Den ordinære ledelsen har hånden på rattet og eier disse aktivitetene. Styringsaktivitetene er kjernen i styringssystemet, og sammen med sikkerhetstiltakene sørger de for god informasjonssikkerhet for virksomhetens oppgaver og tjenester.
Etableringsaktiviteter er aktiviteter som gjennomføres for å bygge opp og etablere settet med styringsaktiviteter. De legger grunnlaget for at disse skal kunne fungere bra. Etableringsaktivitetene benyttes når man skal etablere, eller vesentlig forbedre, arbeidet med styring av informasjonssikkerhet.
Skape engasjement
Mot slutten av Stifinneren vil dere se at dette er første del av det som i mange organisasjoner vil være et langvarig løp. Dere er nødt til å skape engasjement og entusiasme for det som skal skje. Det er svært viktig at dere sørger for god forståelse for hva dette handler om, spesielt hos virksomhetsledelsen. Dere bør tenke på hvordan dere skal opprettholde interesse og motivasjon hos ulike interessenter, uten å slite dem ut med ting som er fjernt fra deres hverdag og perspektiv. Pek på nytte og gevinster, og vis hvordan dere legger til rette for at de kan styre på en god og effektiv måte.
Kommunikasjon kommunikasjon kommunikasjon
Dere kommer til å kommunisere mye. Dere må knytte forbindelser til mange mennesker i organisasjonen. Hvilke som er de viktigste vil variere, men det må inkludere toppleder og personer i virksomhetsledelsen. Hva tenker de? Hva er viktig for dem? Hvilke forventninger har de? Trenger de hjelp til å forstå hva dette handler om?
Knytt også forbindelser til fagpersoner som kan ha lyst til å dra i samme retning som dere. Bygg forståelse for hva dette handler om, og beskriv hva som blir bedre i virksomheten når ledelsen lykkes med dette. Hvordan dette legges opp vil variere mye fra virksomhet til virksomhet, og er avhengig av organisasjonskultur og holdninger. Regn med at dere skal kommunisere veldig mye. All denne kommunikasjonen er ikke beskrevet i denne veiledningen, men er noe dere selv må finne ut av.
Dere må sørge for å holde viktige interessenter i organisasjonen jevnlig oppdatert om hva som foregår. Gi dem informasjon om hva som skjer, hvilken fremgang dere har og hva organisasjonen har oppnådd. Gi dem informasjon om utfordringer, og hva som ikke virker helt som dere hadde tenkt. Hold dem informert om hva som kommer på senere etapper.
Koordinering med andre løpende deler av virksomhetsstyringen
Dere må sørge for at en del av etappene i Stifinneren henger godt sammen med eksisterende prosesser i virksomheten, for eksempel årlig virksomhetsplanlegging eller budsjettprosess.
Dersom dere skal etablere styring av informasjonssikkerhet fra bunnen av, eller gjøre store forbedringer i måten det gjøres på, så må dere regne med mye større ressursbruk i gjennomføring av etappene i Stifinneren enn det kommer til å være etter hvert, når aktivitetene går av seg selv, og de kan gjennomføres mer effektivt.
Begreper
Bruken av begreper i denne veiledningen vil sannsynligvis ikke samsvare helt med det som er vanlig hos dere. Det vil heller ikke alltid samsvare helt med annen veiledning dere benytter. Av mange ulike årsaker er det forventet, og det behøver ikke være et problem. Det er svært viktig at dere forstår hva som menes med begrepene veiledningen benytter, slik at dere kan relatere det til egen virksomhet og behovene dere har. Dere behøver ikke å bruke de samme begrepene som veiledningen benytter.
Oversikt over virksomheten og rammebetingelser
Hvem er dere?
Omfang, struktur og ressursinnsats på styringen må være tilpasset virksomheten. Dere må ha en overordnet oversikt over virksomheten, rammevilkårene for det dere driver med og kunnskap om omgivelsene dere befinner dere i. En slik oversikt bidrar til å gjøre dere i stand til å få en virksomhetstilpasset utforming av styringsaktivitetene.
Et lite notat kan være nok
Dere bør dokumentere den overordnede oversikten i en eller annen form, for eksempel et notat. Dette bør dere bruke underveis på ferden gjennom de kommende etappene. Det vil for eksempel bli bruk for det når dere skal gi virksomhetsledelsen god forståelse av hva arbeidet med informasjonssikkerhet handler om og hvilken betydning det har, eller i utforming av grunnopplæring for ledere.
Virksomheten
Virksomhetens formål og primære oppgaver og tjenester
Få oppgaver eller mange oppgaver
Oppgaver av samme type, eller ulike oppgaver med ulike behov
Organisasjon
Liten eller stor
Enkel og oversiktlig eller komplekst hierarki med mange enheter og nivåer
Overordnet oversikt over hvordan virksomheten styres i dag
Styringsmodell
Sentralstyrt eller delvis selvstyrte enheter
Eksisterende organisering
Fordeling av ansvar og myndighet for styring av risiko for oppgaver og tjenester
Fordeling av ansvar og myndighet innen styring av informasjonssikkerhet
Andre internkontrollområder i virksomheten med lignende styringsbehov
Kjente utfordringer, problemer eller sårbarheter
Rammevilkår
Regelverk (lover og forskrifter)
Overordnede føringer
Fra overordnet departement eller kommunestyre
Rundskriv
Avtaler eller andre forpliktelser
Nasjonale strategier
Omgivelser
Interessenter og interesser i virksomhetens oppgaver og tjenester, og informasjonsbehandling som skjer i, og under ansvaret til, virksomheten
Trusler, farer og trusselaktører dere kan være spesielt utsatt for
I arbeidet med en overordnet oversikt kan det være nyttig å stille dere selv disse spørsmålene. Svarene kan dere for eksempel finne i samråd med noen utvalgte ledere.
Hvilken betydning har oppgavene og tjenestene virksomheten har ansvaret for?
Hvilken betydning har informasjonsbehandling for disse oppgavene og tjenestene?
«Informasjonsbehandling» inkluderer også all bruk av digitale systemer i alle varianter, også for å styre fysiske prosesser
Hva kan konsekvensene bli ved informasjonssikkerhetsbrudd i oppgaver og tjenester?
Konsekvenser for virksomheten?
Tjenestenivå
Økonomi
Ansatte
Konsekvenser for andre?
Innbyggere
Andre virksomheter
Samfunnsfunksjoner
Nasjonale sikkerhetsinteresser
Behov for utvikling og innovasjon?
Hvilken betydning vil god informasjonssikkerhet ha?
Er rammevilkårene i endring?
Strategiske valg
Endringer i oppgaver og tjenester
Endringer i regelverk
Teknologisk utvikling
Hvilken betydning har digitale tjenester for oppgaveløsningen?
Bruk av informasjonsteknologi generelt?
Hvilken betydning har informasjonssikkerhet for evnen til å utføre primæroppgavene, og hvilken betydning har det for å ivareta andre forpliktelser?
For eksempel: hvor store konsekvenser kan informasjonssikkerhetsbrudd kunne få for evnen til å gjennomføre en oppgave, og hvor store konsekvenser kan det få for personvernet til de man behandler opplysninger om for å kunne gjennomføre den primæroppgaven?
For eksempel: hvor store konsekvenser kan informasjonssikkerhetsbrudd i en tjeneste kunne få for virksomheten selv og dens økonomi, og hvor store konsekvenser kan sikkerhetsbrudd forårsaket av tilsiktede handlinger (angrep) få for en grunnleggende nasjonal funksjon (GNF), som er avhengig av tjenesten, og nasjonale sikkerhetsinteresser?
Du kan lese mer om å utarbeide en oversikt over virksomhetens rammebetingelser her:
