Suksesskriterier for styring av informasjonssikkerhet

Skal en virksomhet lykkes med å få tilstrekkelig styring og kontroll med informasjonssikkerheten, er det ikke nok med systematiske planer, policyer, retningslinjer, styringsparametere og oppfølging. Ledelsen må sette tonen på toppen, og ha god faglig støtte i organisasjonen.

    Tonen på toppen

    Kulturen i organisasjonen er avgjørende for at styringen av informasjonssikkerhet skal fungere godt. Hva ledelsen selv sier og ikke minst gjør, er et viktig fundament i organisasjonens kultur. Dersom ledelsen ikke tar informasjonssikkerhet på alvor, blir dette fort synlig blant de ansatte uavhengig av hva som sies eller skrives. Tar ikke ledelsen informasjonssikkerhet på alvor, er det lite trolig at de ansatte vil gjøre det.

    De ansatte og brukerne av IKT-systemene må forstå hvorfor informasjonssikkerhet er viktig, hvorfor tiltak etableres, og hvorfor de må følges. Det må også være samsvar mellom det de ansatte sier de gjør, og det de faktisk gjør.

    Eksempler på faktorer som kan synliggjøre ledelsens faktiske holdning, er:

    • ledelsens engasjement:
    1. ved utarbeiding av føringer for informasjonssikkerhet
    2. i virksomhetsledelsens gjennomgang av informasjonssikkerhet
    3. ved utforming av styringsparametere og årlige krav til informasjonssikkerhet
    • ledelsens fremheving av informasjonssikkerhet i sin «dag-til-dag»-kommunikasjon ut i organisasjonen og at ledelsen tydelig synliggjør hva tilstrekkelig og balansert informasjonssikkerhet betyr for virksomheten
    • om ledelsen selv etterlever de retningslinjer og rutiner som blir etablert
    • de ansattes mulighet til å være kritiske til etablerte tiltak som kanskje ikke fungerer optimalt, og til å få endret disse
    • om det er positivt i virksomheten å melde fra om mulige sikkerhetshendelser og mulige eller reelle feil og avvik
    • om informasjonssikkerhet er tema i topplederens oppfølging av egne underordnede ledere
    • om informasjonssikkerhet er et fast tema i virksomhetens medarbeidersamtaler eller lignende nedover i hele organisasjonen

    Dette handler om «tonen på toppen» og er et avgjørende suksesskriterium for tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet.

    Virksomhetens fagansvarlig informasjonssikkerhet må informere lederne på alle nivå om dette. De kan gjerne vise til både Digitaliseringsdirektoratets undersøkelser og anbefalinger, ISO-standarder og COSO-rammeverk. Videre må de legge til rette for at det er enkelt for lederne å involvere seg. De må fôre dem med relevant kunnskap og støtte dem gjennom prosesser som er nye, og som de første gangene kan oppleves tunge eller vanskelige. Lykkes de med det, er en på god vei.

    Støtte til ledelsen

    Ledelsen bør selv delta aktivt i styringsaktivitetene i Ledelsens styring og oppfølging. Samtidig har ledere på alle nivåer behov for gode saksunderlag, anbefalinger og beslutningsgrunnlag. Dette er ofte en forutsetning for at virksomheten skal lykkes med god lederinvolvering, aktiv styring og systematisk oppfølging på informasjonssikkerhetsområdet. Vi anbefaler derfor etablering av pådrivere innen informasjonssikkerhet på flere organisatoriske nivå.

    Pådriver på virksomhetsnivå – fagansvarlig informasjonssikkerhet

    Digitaliseringsdirektoratet anbefaler at ledelsen utpeker eller ansetter noen på virksomhetsnivå som skal være pådriver og støtte til ledelsen og organisasjonen for øvrig i informasjonssikkerhetsarbeidet.

    Mange virksomheter har allerede en slik funksjon eller stilling med litt ulike navn som for eksempel sikkerhetsansvarlig, sikkerhetssjef, Chief Information Security Officer (CISO) eller Chief Security Officer (CSO). Enkelte har også lagt funksjonen til en kvalitetssjef med et bredere ansvar. Noen kan også finne det hensiktsmessig at funksjonen dekker flere internkontrollområder og ikke bare informasjonssikkerhet.

    Det er ikke samlet ansvar, den organisatoriske plasseringen eller hva funksjonen kalles, som er viktigst her, men at funksjonen finnes, at roller og ansvar for informasjonssikkerhet er godt definert, og at nødvendige ressurser til reell innsats på informasjonssikkerhetsområdet er avsatt. Ressursbehovet vil være avhengig av virksomhetens størrelse, kompleksitet og tilgjengelig kompetanse. Det må vurderes lokalt.

    Funksjonen bør bistå virksomhetsledelsen i utføringen av alle delaktivitetene under ledelsens styring og oppfølging og være en nøkkelressurs for øvrig i virksomhetens kontinuerlige internkontrollarbeid på informasjonssikkerhetsområdet.

    Dette er ikke en teknisk IKT-stilling, men det kreves god forståelse for både IKT-relaterte risikoer, andre typer informasjonssikkerhetsrisikoer, internkontrollsystemer, styringssystemer og sammenhenger mellom internkontroll på informasjonssikkerhetsområdet og virksomhetens samlede mål, organisering og arbeidsmåter.

    Endelig plassering i organisasjonen bør vurderes og besluttes som en del av arbeidet med utforming av virksomhetens retningslinje for roller og ansvar i arbeidet med informasjonssikkerhet. Naturlige plasseringer kan være i stab til virksomhetsledelsen, sentralt i en administrasjonsavdeling eller tilsvarende.

    Pådrivere på avdelingsnivå eller tilsvarende

    Virksomheten bør i tillegg til en fagansvarlig informasjonssikkerhet også utpeke en pådriver i hver avdeling eller på tilsvarende organisatorisk nivå, avhengig av virksomhetens størrelse og organisering. Dette vil oftest være en funksjon som kan legges til en ordinær fagstilling.

    Mange virksomheter har også slike funksjoner i dag med litt ulike navn som sikkerhetskoordinator, lokal sikkerhetsrådgiver, lokal sikkerhetsansvarlig og lignende. Funksjonsnavnet er ikke viktig her heller. Det viktige er å etablere funksjonene.

    Pådriverne for informasjonssikkerhetsarbeidet på avdelingsnivå skal støtte ledelsen og de ansatte for øvrig på avdelings- og seksjonsnivå eller tilsvarende i arbeidet med informasjonssikkerhet og internkontroll på området.

    Rollen som pådriver på avdelingsnivå krever heller ikke teknisk IKT-kompetanse. Det er en fordel med noe av den samme kompetansen som for pådriverne på virksomhetsnivå. Dette er samtidig en kompetanse som disse funksjonene i samarbeid med virksomhetens pådriver for informasjonssikkerhet på virksomhetsnivå kan bygge opp over tid.

    De viktigste forutsetningene for pådriverne på avdelingsnivå er motivasjon og personlig egnethet. Det er selvsagt også en fordel med god kjennskap til avdelingens arbeid og organisering.

    Ressursbehovet vil også her være avhengig av enhetens størrelse, kompleksitet og tilgjengelig kompetanse. Det må vurderes lokalt.

    Pådrivergruppe informasjonssikkerhet

    De nevnte funksjonene på virksomhetsnivå og avdelingsnivå kan med fordel utgjøre en samlet pådrivergruppe for informasjonssikkerhet i virksomheten. Hva gruppen kalles, er ikke viktig og avgjøres i den enkelte virksomhet. Funksjonen på virksomhetsnivå vil naturlig være drivkraft i gruppen.

    På denne måten kan virksomheten få både sentral og lokal forankring av informasjonssikkerhetsarbeidet og nødvendig kompetanse i og gode bindeledd mellom de ulike organisatoriske nivåene.

    Både internkontroll-, risikostyrings- og informasjonssikkerhetskompetanse i virksomheten kan systematisk bygges opp gjennom en slik pådrivergruppe. Sammen kan de være pådrivere, fasilitatorer og koordinatorer i nødvendige aktiviteter på alle organisatoriske nivå.