Magma topp logo Til forsiden Econa

Espen Opjordsmoen er utdannet cand. polit. fra Universitetet i Olso, med statsvitenskap hovedfag. Han er seniorkonsulent i PricewaterhouseCoopers med ansvar for tjenesteområdet Strategic Risk Services (SRS).

Styring av IT-risiko

Trygdeetaten behandler og lagrer store mengder personsensitiv informasjon som berører de aller fleste mennesker i Norge. Det kan få alvorlige konsekvenser hvis etatens IT-systemer ikke fungerer, eller hvis personsensitiv informasjon misbrukes eller kommer på avveie. Trygdeetaten har ansvar for å utføre sine pålagte oppgaver og forvalte sine data på en betryggende måte både for enkeltpersoner og for samfunnet. Derfor er arbeidet med informasjonssikkerhet et høyt prioritert område innenfor etaten, og det er et av hovedsatsingsområdene i etatens IT-strategiplan for årene 1998-2000. Som et ledd i dette gjennomføres prosjektet «Bedre IT-sikkerhet i trygdeetaten 1998-2000».

Prosjektet har gjennomført en omfattende kvalitetsgjennomgang av etatens mest sentrale driftssystemer, applikasjoner og utviklingsprosjekter. Målet med denne gjennomgangen er særlig

  • å ivareta kravene som påligger etaten når det gjelder å oppbevare og behandle sensitiv informasjon, og krav som øvrige lover og forskrifter stiller
  • å gjennomføre en systematisk kartlegging av sikkerhetstrusler og sårbarhet, iverksette nødvendige forbedringstiltak for å sikre etaten kontroll over egen risikoeksponering og sårbarhet, og sikre at krav til konfidensialitet, integritet og tilgjengelighet ivaretas
  • å kartlegge etatens risiko og sårbarhet i forhold til sammenlignbare institusjoner

I denne artikkelen skal vi beskrive en del sider ved trygdeetatens risikostyring innen IT-området og se på sammenhengene mellom etatens samlede IT-strategi, handlingsplan og prioritering av IT-sikkerhet som ett viktig område for å styre den risikoen etaten står overfor.

Tress-90 var et prosjekt og en strategi med høy risiko som var vanskelig å realisere med utgangspunkt i de to eksisterende plattformene som krevde kontinuerlig drift og vedlikehold. Vi drøfter ikke hva som gikk galt i dette prosjektet, men utgangspunktet for den risikostyring som nå etableres i etaten, har selvsagt sammenheng med de erfaringer og lærdommer som dette prosjektet ga. Det betyr at kravene til styring og kontroll er skjerpet, og prosessene vi beskriver her, er resultat av det fokus som er satt på sammenhengen mellom mål, strategier, risiko, styring og kontroll.

RISIKOBILDET

Det er naturlig å se på IT-risiko i trygdeetaten i flere perspektiver:

  • Strategisk risiko er knyttet til overvåkning av rammebetingelser og beslutninger om etatens langsiktige utvikling, utnyttelse og bruk av IT for å løse oppgaver og mål.
  • Operasjonell risiko er knyttet til holdninger, kompetanse, organisatoriske løsninger, ressursutnyttelse, prosjektstyring etc.
  • Teknologisk risiko er knyttet til teknologiske løsninger, drift, vedlikehold, IT-sikkerhet i systemer og applikasjoner.
  • Juridisk risiko i tilknytning til kontrakter og overholdelse av lover og regler.

Generelt er det bildet etaten står overfor, preget av storemuligheter i utnyttelse av IT som verktøy for effektivitet og kvalitet. Administrasjonsutgiftene i etaten er ca. 2,5 % av det budsjettet etaten forvalter. At denne prosentandelen er såpass lav, skyldes ikke minst at etaten i meget stor grad benytter IT-systemer i hele produksjonsprosessen. Effektivitetsgevinstene som er tatt ut siden IT-revolusjonen satte inn for fullt på 80-tallet, representerer tusenvis av årsverk. Etaten behandler over én million saker hvert år (medregnet sykepenger og barnetrygd er tallet over to millioner) og forvalter ca. 150 milliarder kroner. Dette gjøres i en sterkt desentralisert organisasjonsstruktur med over 450 lokale og regionale enheter. Kompetanse og IT er uten tvil den dominerende innsatsfaktoren for effektivitet og kvalitet. Målene om effektiv saksbehandling, høy kvalitet og lave administrasjonskostnader er helt avhengig av at meget avansert IT-teknologi utnyttes på best mulig måte. Erfaringene fra Tress-90 viser ikke minst at strategiske beslutninger for å utnytte IT optimalt krever grundig analyse avrisiko i de muligheter som finnes. I IT-bransjen er det ikke mangel på vyer og luftige løsninger. Det er ikke alltid like lett å se eller forstå det som står med liten skrift.

Ikke minst viser erfaringene fra Tress-90 at etaten også har store utfordringer i å styreusikkerhet i prosjekter og operasjonelle forhold knyttet til IT. Risikoen for å sprekke kostnadsrammer eller ikke nå teknologiske mål er relatert til et komplisert sett av faktorer som krever avansert analyse, styring og kontroll for å sikre at resultater faller innenfor akseptable rammer.

Stor avhengighet av IT skaper også et komplisert trusselbilde og mangefarer for uønskede hendelser som etaten ha kontroll over for å begrense risikoen for sikkerhetsbrudd i forhold til konfidensialitet, integritet og tilgjengelighet i informasjonssystemene. Etaten tåler ikke mye rot med f.eks. utbetaling av pensjoner til hundretusenvis av pensjonister.

Forenklet kan vi fremstille risikobildet slik:

figur

Figur 1

STRATEGISK STYRING AV IT-VIRKSOMHETEN

For perioden 1998-2000 er det utviklet en strategisk plan for IT-virksomheten som bl.a. bygger på en risikoanalyse av de utfordringene etaten står overfor, sett i forhold til den plattformen og løsningene man i dag opererer med.

Den strategiske planen er fulgt opp av en IT-handlingsplan for trygdeetaten 1998-2000. Dette er det operative dokumentet som etaten skal arbeide etter i perioden. Handlingsplanen gir informasjon om:

  • hvilke tiltak som skal utføres
  • når tiltakene skal utføres
  • hvor mye tiltakene vil koste
  • hvordan planen påvirker etatens ressurssituasjon
  • hva som må gjøres i trygdeetaten for å sikre en trygg og sikker gjennomføring av planen
  • hvem som er ansvarlig for å gjennomføre tiltakene

Handlingsplanen viser sammenhengen mellom de tiltak som har med utskifting, modernisering og vedlikehold av etatens systemer og registre å gjøre. Planen er tilpasset et overordnet målbilde og de overordnede strategiene for trygdeetaten. På kort sikt, innenfor treårsperioden, er målbildet preget av forbedringer basert på eksisterende teknologi og løsninger. På lengre sikt er visjonen integrerte og synkroniserte systemløsninger og utstrakt elektronisk samhandling internt og eksternt som legger til rette for nye fleksible samarbeidsformer.

Målbildet på kort sikt:

  • bedre sikkerhet og saksbehandlerstøtte i eksisterende saksbehandlingssystem
  • alle systemløsninger håndterer 2000-problematikken
  • etablere felles reskontroløsninger og ta i bruk statens konsernkontoordning
  • etablere elektronisk datautveksling der gevinsten er særlig stor

Langsiktig målbilde:

  • all regelbundet rapportering av informasjon til og fra trygdeetaten foregår elektronisk
  • fleksibel IT-infrastruktur som understøtter nye samarbeidsformer og elektronisk publisering
  • tilfredsstille de funksjoner krav i statens økonomireglentet
  • etatens store, sentrale IT-systemer er modernisert og fremstår for brukerne som enhetlig med et moderne brukergrensesnitt

For alle tiltak og satsingsområder er det utarbeidet en kost/nytte-vurdering. På den måten har man forsøkt å beregne den lønnsomheten (nytten minus kostnadene) som ligger i de ulike tiltakene. Lønnsomheten gir indikasjoner om potensiale og er en veiledning i prioritering av tiltak. Videre er det gjennomført analyser av ressurssituasjonen, dvs. forholdet mellom ressursbehov og ressurstilbud i organisasjonen. Sammenholdt med en analyse av kritiske ressurstyper gir dette et bilde av intern ressursdekning og behov for ekstern bistand.

Et vesentlig element når det gjelder forankringen av IT-løsningene i etatens overordnede strategier, er å knytte denne forbindelsen sammen i et eget IT-arkitekturprosjekt som skal arbeide strategisk med hovedkomponentene i dagens løsninger og i de fremtidige IT-løsningene. Dette prosjektet arbeider «top-down» med utgangspunkt i oppgaver som skal løses, forderetter å avlede tekniske løsninger, risiko og detaljer i datasystemene.

STYRING AV RISIKO I OPERATIV GJENNOMFØRING

Med utgangspunkt i de antatt største risikomomenter som er knyttet til gjennomføringen av IT-handlingsplanen, er det pekt på særlige risikoer i en vellykket realisering. Det er utviklet særlige strategier og tiltak i forhold til dette:

  • Overordnet styring
  • IT-strategien og IT-handlingsplanen får store konsekvenser for ledere og ansatte på alle nivåer i etaten. En grunnleggende forutsetning for å lykkes med gjennomføringen av de ulike tiltakene er at planen får en god forankring.
  • Forankring
  • IT-strategien og IT-handlingsplanen får store konsekvenser for ledere og ansatte på alle nivåer i etaten. En grunnleggende forutsetning for å lykkes med gjennomføringen av de ulike tiltakene er at planen får en god forankring.
  • Ressurser og kompetanse
  • Behovet slik det fremkommer i IT-handlingsplanen, er noe større enn etatens tilgjengelige ressurser. Lukkes ikke ressursgapet, vil konsekvensene bli at vedtatte tiltak må utsettes på grunn av manglende kapasitet.
  • Planlegging, organisering og gjennomføring
  • Det er mange og til dels store tiltak som skal gjennomføres. Planlegging, organisering og styring av disse vil være en stor utfordring for etaten.

Som hovedregel skal alle tiltak forankres i linjeorganisasjonen. Det skal utpekes enoppdragsansvarlig som sitter i ledelsen for den avdelingen som erbestiller/kunde av prosjektene. Oppdragsansvarlig vil ha ansvaret for å følge prosjektet på vegne av styringsgruppen, og han må selv sitte i denne. Oppdragsansvarlig vil dessuten få et forpliktende ansvar for gevinstrealiseringen.

figur

Figur 2

Prosjektorganisasjonen er å betrakte som enleverandør som skal levere et resultat til avtalt tid, til avtalt kostnad og med rett kvalitet.Prosjektlederen har et entydig ansvar forleverandørrollen og kan ikke samtidig være oppdragsansvarlig. Alle prosjektdeltakere og andre som er involvert i prosjektet (styringsgruppen, referansegruppene, ledelsen i etaten, systemeierne, brukerne og eksterne konsulenter), må bevisstgjøres sine roller i prosjektet.

Bruk av definerte modeller for prosjektorganisering og metoder for prosjektstyring er en del av det totale rammeverket for administrativ kvalitetssikring (AKS), som er etablert og integrert i det totale styringssystemet i etaten. Fokus på risiko er sentralt i hele dette systemet.

figur

Figur 3

ET AV PROSJEKTENE: IT-SIKKERHET

Konkret handler IT-sikkerhet om den sikkerhet som etaten må opprettholde for å sikre informasjonssystemer og produkter for seg selv og sine kunder mot brudd på konfidensialitet, tilgjengelighet og integritet:

  • Konfidensialitet: Den egenskap ved data og informasjon som gjør at de bare blir offentliggjort for godkjente personer, enheter og prosesser til godkjente tider og på godkjent måte.
  • Tilgjengelighet: Den egenskap ved data, informasjon og informasjonssystemer at de er tilgjengelige og kan benyttes når det passer på den nødvendige måte.
  • Integritet: Den egenskap ved data og informasjon at de er korrekte og fullstendige, samt at korrekthet og fullstendighet opprettholdes over tid.

For trygdeetaten er sikkerhet i informasjonssystemene av fundamental betydning for å opprettholde effektivitet og kvalitet i produksjonen, yte service internt og ekstern, og sikretillit til etatens evne til å løse de oppgaver den er pålagt. Etaten må ha en enhetlig policy for informasjonsbehandling og regelverk for IT-sikkerhet. For at virksomheten skal drives innenfor en akseptabel risiko, må IT-sikkerheten hele tiden defineres, etableres, ledes, kontrolleres og overvåkes i forhold til et kontinuerlig identifisert risikobilde. Målene for prosjektet er å etablere informasjonssikkerhet i tråd med etatens overordnede policy og de krav som lovverket setter. Prosjektet skal i størst mulig grad legge til rette for å overføre kunnskap, eierskap og forankring til etatens linjeorganisasjon. Prosjektets hovedmål er uttrykt slik:

  • utføre en systematisk kartlegging av sikkerhetstrusler og sårbarhet
  • påvise sårbarhet og risikofaktorer og bistå ved iverksettelse av forbedringstiltak
  • sikre etaten kontroll over egen risikostyring og sette krav til behandling av informasjon i forhold til konfidensialitet, integritet og tilgjengelighet
  • trygge etatens videre drift og redusere skader ved å forhindre og begrense konsekvensene av sikkerhetshendelser
  • sette krav til overholdelse av lover, regler og interne retningslinjer
  • forebygge og hindre at etatens anseelse svekkes

Hovedaktivitetene og målene for 1999 er:

  • utarbeide nye retningslinjer for behandling av informasjon - policy for informasjonssikkerhet
  • etablere en samlet oversikt over etatens risikoeksponering og sårbarhet
  • bistå med å bringe sikkerhetsnivået opp på et akseptabelt nivå i alle definerte systemer/applikasjoner som er i drift eller under utvikling
  • definere og etablere IT-sikkerhet som en del av etatens løpende operative lederoppgaver og planprosesser
  • gjennomføre holdningsskapende og kompetansehevende tiltak
  • bistå med å definere, etablere og vedlikeholde kontinuitet og beredskapsplaner i definerte enheter

Prosjektet skal altså etablere en klart definert sikkerhetsarkitektur i etaten som sikrer kontroll med risikoene i informasjonssystemene. Arkitekturen består av etablering og innføring av både tekniske og ikke-tekniske komponenter. Man har valgt å benytte seg av medlemskapet i Information Security Forum (ISF) og de metoder og verktøy som er tilgjengelig fra ISF. Blant de byggesteinene man benytter, er ISFs modell om «sikkerhetshuset».

Gjennom dette huset kan man visualisere både de tekniske og de ikke-tekniske komponentene. Blant de ikke-tekniske komponentene regnes

  • policy
  • basiskontroller
  • bevisstgjøring
  • strategi
  • prosedyrer
  • avhengigheter
  • ansvarsavklaring
  • organisasjonelle forbindelser

Blant de tekniske komponenten regnes beskrivelse av krav til og dokumentasjon av:

  • driftssystemer
  • sikkerhetsprodukter
  • kommunikasjonsprotokoller
  • revisjons-/overvåkningsverktøy
  • prosedyrer
  • tekniske standarder

ISF

ISF (Information Security Forum) er en organisasjon med ca. 215 medlemmer. De fleste er basert i Europa (tidligere het organisasjonen European Security Forum), men man har i dag også medlemmer fra Amerika, Afrika og Asia. ISF gjennomfører årlig mellom seks og ni prosjekter hvor resultatene er tilgjengelige for medlemmene. Dette medfører at man i løpet av kort tid har etablert en omfattende «verktøykasse» når det gjelder strategiske rammer for hvordan man skal innføre IT-sikkerhet som en integrert del av medarbeidernes arbeidsrutiner, og samtidig har man fått operative, løsningsorienterte verktøy for hvordan man skal sjekke at sikkerhetskravene blir oppfylt.

figur

Figur 4

RISIKO- OG SÅRBARHETSANALYSER

Et vesentlig element i sikkerhetsprosjektet har vært å gjennomføre risiko- og sårbarhetsanalyser av etatens mest sentrale og forretningskritiske systemer, applikasjoner og utviklingsprosjekter. For 1999 er det utarbeidet planer for oppfølging og gjennomføring av nye analyser. Analysene er vesentlige for å avdekke og prioritere behov for tiltak. Samtidig er det utarbeidet en modell som integrerer risiko- og sårbarhetsanalyser i IT-sikkerhetsarbeidet fremover: Man har valgt å bruke både en sikkerhetsundersøkelse som utføres annethvert år blant ISFs medlemmer, og risiko- og sårbarhetsverktøy som SPRINT (Systematic Process Risk Identification) og SARA (Simple to Apply Risk Analysis). Etaten har derfor lagt opp et løp hvor man hvert år gjennomgår et sett analyser, og hvor man etterfølgende år følger opp de tiltakspunktene som blir avdekket. Dette utføres som en del av den årlige egenkontrollrapporteringen i etaten.

figur

Figur 5

AVSLUTNING

Risikostyring er en prosess som må forankres i ledelsen, og som må knyttes til det ansvar ledelsen har overfor «shareholders» og «stakeholders». Dersom man skalha kontroll, er det nødvendig å analysere de risikoer som gir strategiske implikasjoner, og som påvirker mulighetene til å nå de mål som er satt. Uten god kunnskap om risikoene som virksomheten står overfor, er det stor sannsynlighet for at strategiske valg bygger på sviktende informasjon, og at implementerte kontrollsystemer er rettet mot fortidens problemstillinger. IT er ett eksempel på hvordan risikostyring hjelper virksomheten med å utnytte muligheter i ny teknologi,samtidig som man styrer den risikoen man eksponeres for.


© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS