Magma topp logo Til forsiden Econa

Arne Johan Helle er ansvarlig partner med fagansvar for IT- sikkerhet i PricewaterhouseCoopers. Han jobber mye med sikkerhetsledelse, risikoanalyser, sikkerhetsrevisjoner og kvalitetssikring av IT-prosjekter og har blant annet vært president i ISACA Norway Chapter.

Sikkerhetskultur og risikostyring er et lederansvar

Overvåking av risiko for aktiv beskyttelse av selskapets verdier

Hver dag utsettes virksomhetens forretningskritiske arbeidsprosesser for trusler og hendelser som kan få store konsekvenser for leveranser til kundene. OECD har vedtatt nye retningslinjer som medlemslandene mener vil være et viktig tiltak for å skape sikkerhet og unngå risikoer i informasjonssystemer og nettverk.

Vil vi klare å skape en sikkerhetskultur i Norge? Hvordan har ledelsen involvert seg i denne prosessen, og er de klar over de nye risikoene som virksomheten er utsatt for?

INNLEDNING

Flere virksomheter er i ferd med å åpne sine interne IT-systemer for utenforstående i form av kunder, samarbeidsparter og leverandører. Dette medfører nye risikoer for virksomhetens arbeidsprosesser, og kundene setter store krav til trygghet og tillit til de informasjonssystemene som benyttes når det skal handles varer og tjenester over Internett. Samfunnet setter også større krav til åpenhet, og vi har en overflod av informasjon som skal forvaltes til fellesskapets beste. Personvernet og privatpersoners informasjon skal beskyttes. Personopplysningsloven gir retningslinjene for dette i Norge.

Informasjonssikkerhet er et komplisert område. Sikringstiltak blir ofte betraktet som tungvinte og begrensende sett fra brukerne, som for eksempel ekstra tid med flere pålogginger og passord som må huskes. Dette er en misforståelse. Det finnes teknikker i dag som gir deg de tilgangene du skal ha, ved første identifisering. Informasjonssikkerhet kan gjøres som en integrert del av kvalitetssikringen i arbeidsprosessene for å

  • sikre høy servicegrad overfor kundene ved å sikre fullstendig og nøyaktig informasjon (integritet)
  • sikre mot tap av forretningskritisk informasjon (tilgjengelighet)
  • sikre at informasjon ikke kommer uvedkommende i hende (konfidensialitet)

Dette er alle elementer som vil sikre effektiv utnyttelse av tilgjengelige ressurser i en virksomhet som er avhengig av sine IT-systemer i arbeidsprosessene.

SIKKERHETSKULTUR

OECDs retningslinjer for sikkerhet i informasjonssystemer og nettverk ble vedtatt i rådet 25. juli 2002. De er nå oversatt til norsk og publisert av Nærings- og handelsdepartementet. Formålene med retningslinjene fra OECD er

  • å fremme en sikkerhetskultur blant alle aktører som en måte å beskytte informasjonssystemer og nettverk på
  • å øke bevisstheten om risiko knyttet til informasjonssystemer og nettverk, om policy, rutiner, tiltak og prosedyrer som er tilgjengelige for å ta hånd om disse risikoene, og om behovet for at de vedtas og iverksettes
  • å skape større tillit blant alle aktørene til informasjonssystemer og nettverk og til måten de utvikles og benyttes på
  • å utarbeide en generell referanseramme som vil hjelpe aktørene med å forstå sikkerhetsrelaterte problemer og å respektere etiske verdier under utarbeidelsen og iverksettingen av samordnet policy, rutiner, tiltak og prosedyrer vedrørende sikkerhet i informasjonssystemer og nettverk

Retningslinjene er også tatt hensyn til og innarbeidet i utkast til Nasjonal strategi for informasjonssikkerhet, som har vært ute til høring i høst. Hovedprinsippene består av følgende punkter:

  • Bevisstgjøring -- aktører må være bevist på behovet for sikre informasjonssystemer og nettverk og hva de kan gjøre for å forbedre sikkerheten.
  • Ansvar -- alle aktører er ansvarlige for sikkerheten til informasjonssystemer og nettverk.
  • Reaksjon -- aktørene må reagere raskt og på en samarbeidsrettet måte for å forebygge, oppdage og reagere på sikkerhetshendelser.
  • Etikk -- aktører må respektere andre aktørers rettmessige interesser.
  • Demokrati -- sikkerhet til informasjonssystemer og nettverk må være forenlig med grunnleggende verdier i et demokratisk samfunn.
  • Risikovurdering -- aktørene må gjennomføre risikovurderinger.
  • Sikkerhetsdesign og iverksettelser -- aktørene må gjøre sikkerheten til en integrert del av informasjonssystemer og nettverk.
  • Sikkerhetsadministrasjon -- aktørene må innføre en helhetlig tilnærming til sikkerhetsadministrasjon.
  • Løpende vurderinger -- aktørene må løpende gjennomgå og vurdere sikkerheten til informasjonssystemer og nettverk og foreta hensiktsmessige endringer i policy, rutiner, tiltak og prosedyrer.

Ovennevnte er gode retningslinjer og representerer det vi kan benevne som god skikk og bruk for å vedlikeholde god informasjonssikkerhet og elementer som må være på plass for å skape en sikkerhetskultur.

ERFARINGER FRA INFORMATION SECURITY FORUM (ISF)

Forumet er en uavhengig non profit-organisasjon som i dag har mer en 250 medlemmer fra hele verden. Alle er opptatt av å klargjøre og forbedre sikkerheten i henhold til virksomhetenes egne behov. Forumet har utarbeidet et felles rammeverk, «Standard of Good Practice for InformationSecurity», som danner grunnlaget for det OECD utpeker som samordnet policy og prosedyrer. 1

Forumet har i over tolv år gjennomført status survey og benchmarking innenfor IT-sikkerhetsområdet blant medlemmene. Dette for at forumets medlemmer skal kunne lære hvordan de beste lykkes med tiltak og klarer å redusere sikkerhetshendelsene.

Fra undersøkelsen som ble gjennomført i 2001, vil jeg oppsummere noen forhold som ledelsen bør merke seg. Dette er for øvrig ikke noe revolusjonerende nytt. Gjennomgangen blant ca. 200 virksomheter konkluderer med at det ikke finnes noen enkle grep ellerquick wins innenfor IT-sikkerhet. Det er et komplekst område som henger sammen med mange ulike forhold, og det ene systemet og nettverket er avhengig av andre applikasjoner og sikkerhetsforhold. Oppskriften er prioriteringer fra ledelsen og nitid arbeid mot bevegelige mål. Dette krever fokus, prioriteringer ut fra risikobildet og fokus på nøkkelkontroller som har effekt.

Noen av de viktigste funnene:

  • Ved økt ledelsesengasjement, økt investering i sikkerhet og økt bemanning med kompetanse får virksomheten betydelige forbedringer i surveyen på grunn av reduserte sikkerhetshendelser og økt fokus på sikkerhetsholdninger i virksomheten.
  • Ved økt fokus fra en sentral organisasjonsdel (som konsernsikkerhetsstab) som får fullmakter til å dirigere kravene til ulike enheter i konsernet eller avdelinger i virksomheten, oppnår man en økt sikkerhet på ledelsesnivået i alle enheter i virksomheten. Ledelsen får felles og like krav å forholde seg til i forhold til rapportering og oppfølging. Alle trenger et minimumssikkerhetsnivå å forholde seg til.
  • Man får en helhetlig sikkerhetsarkitektur og -modell som alle enheter i virksomheten må forholde seg til.
  • De virksomheter som gjennomfører enhetlig risikovurdering på alle forretningskritiske systemer, klarer å prioritere sine sikringstiltak på områder som gir stor effekt og nytteverdi.

KONTROLL OG RISIKOSTYRING

Et av de viktigste elementene i forvaltningen av selskapenes verdier er risikovurderinger og daglig monitorering av den løpende operasjonelle risikoen som virksomheten utsettes for. Det er et styre- og lederansvar i henhold til norske lover (aksjeloven, selskapsloven, regnskapsloven m.m.) å sikre virksomhetens formuesforvaltning.

Det er viktig å prioritere hvor virksomheten skal anvende sine ressurser på en best mulig måte. Med knappheter på ressurser, kompetanse, økonomi og tid vil det være en viktig oppgave å gjennomføre risikovurderinger og se like mye på nye muligheter til fortjeneste som å se på uhell og mangler som fører til stans i eksisterende formuesforvaltning.

Kundenes tilfredshet og videre samarbeid er ofte knyttet til service, opplevelse av servicegrad og tillit til samarbeidspartnerne. I Norge er vi underlagt lover og regler som understøtter beskyttelse av personsensitiv informasjon, for at involverte parter som besitter informasjon om personer, ikke skal utnytte informasjonen utover målet og hensikten som det er gitt konsesjon for, eller som er regulert i lovverket. Tap av tillit og renommé til virksomheten får ofte betydelig større konsekvenser i dagens informasjonssamfunn. Ledelsen må sikre at prosedyrer og rutiner for sikker informasjonsbehandling er implementert og forstått av alle brukerne.

Ledelsen er selvfølgelig pålagt å følge norsk lov. Det betyr at det skal gjennomføres risikoanalyser, og informasjonen skal beskyttes i henhold til virksomhetens behov eller i henhold til god skikk og bruk for området. Gode rutiner for risikoanalyser og løpende vurderinger av at risikoen er under kontroll, eller at eksisterende prosedyrer og rutiner fungerer, er også en god måte å sikre formuesforvaltningen på. Ledelsen må altså stille spørsmål og få rapportert virksomhetens risikobilde på det operasjonelle plan i ledermøtene, og det er opp til styret å behandle virksomhetens risikobilde eller gi styresignaler på hvilket risikonivå virksomheten skal operere under.

Dagens virksomheter er avhengig av sin teknologi og av nye samarbeidskanaler, som Internett. Det vil dermed alltid være risiko involvert med dagens raske teknologiske endringer.

ISF har utarbeidet en metodikk for løpende risikovurderinger som bygger på statistikk fra de siste tolv års analyser i de ledende virksomhetene på informasjonssikkerhet. Her er det en god sammenheng mellom de som har implementert sikringstiltak og nøkkelkontroller i forhold til skadeomfang, og hyppighet på sikkerhetshendelser.

Denne metodikken er bygd opp som et balanced scorecard, hvor de 17 viktigste nøkkelkontrollene er definert. Risikoen for sikkerhetshendelser dersom noen av kontrollaspektene mangler, kan utledes ut fra historiske reelle statistikker blant medlemsbedriftene. Det vil si at ledelsen i virksomheten kan ta stilling til hvilket kontroll- eller risikonivå man mener virksomheten kan akseptere. Gjennom intervjuer av nøkkelpersoner vil ledelsen i løpet av noen timer kunne få en oversikt over hvilke mangler eller risikoer virksomheten er utsatt for. Dette sammenlignes så med ledelsens definerte oppfattelse av risikonivået. Mulige tiltak for å bedre på sikkerheten er i utgangspunktet knyttet opp til forumets «Standard of Good Practice», ISO17799 eller BS7799, men kan selvfølgelig knyttes opp til virksomhetens egendefinerte sikkerhetspolicy og retningslinjer.

OPPSUMMERING

I stor grad ser man at virksomheter som har et godt og hensiktsmessig ledelsesfokus, og som gjennomfører løpende risikovurderinger, klarer å sikre sin formuesforvaltning på en betryggende måte. En forutsetning er at man har en organisasjon med dedikerte og kompetente sikkerhetsmedarbeidere. Kompetanse og forståelse av hva som er viktige trusler, og hvilke konsekvenser ulike hendelser får for virksomheten, er sentrale elementer i en sikkerhetskultur.

Holdningsskapende aktiviteter og bevisstgjøring fra ledelsen er viktig. Når ledelsen engasjerer seg i å definere akseptabel risiko, skaper ledelsen prioriteringer i oppfølging og monitorering av de løpende tiltakene som er viktige for virksomheten. Når dette knyttes opp til kvalitetssikringen og servicegraden overfor kundene, skaper det god forståelse blant brukerne.

Enkle metodikker for risikoanalyse som gjennomføres ensartet i alle virksomhetens avdelinger, er viktig for felles forståelse og prioriteringer av de mest utsatte truslene.

Men virksomhetene trenger også å innarbeide et sikkerhetsrammeverk som omfattes av en sikkerhetskultur i virksomheten. De organisasjoner som har rutiner og prosedyrer som er forstått og blir etterlevd av menneskene i organisasjonen, er de organisasjonene som unngår store sikkerhetsbrudd. Avbrudd i dagens tekniske produksjoner medfører ofte betydelige økonomiske tap.

Dette innebærer at et fornuftig nivå på informasjonssikkerhet ikke bare tilskrives valg av produkt og tekniske løsninger, men at det først og fremst har med menneskene og utøverne av sikkerhetsprosedyrene å gjøre. Det er oppfølgingen av avvikene og aktiv monitorering av risikobildet som danner det beste grunnlaget for et effektivt arbeid med sikkerhet i virksomheten.

--Alle virksomheter trenger en sikkerhetskultur, og ledelsen spiller en sentral rolle i utviklingen av kulturen.

  • 1: http://www.isfsecuritystandard.com

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS