Sikkert nok? Blogg om informasjonssikkerhet

Informasjonssikkerhet: Slik får du mest mulig ut av minst mulig

[fa icon="calendar"] 20. september 2018 / av Jakob Holm Hansen

Med et årshjul for informasjonssikkerhet kan du sikre at de rette sikkerhetsprosessene er på plass, og at bedriftens interne ressurser har tid til å løse de mange andre oppgavene som trenger seg på.

Virkeligheten i mange bedrifter er at det er få ressurser til å håndtere informasjonssikkerheten. Virkeligheten er også at det antakeligvis ikke allokeres noen flere ressurser i fremtiden, så den sikkerhetsansvarlige må sørge for at de eksisterende ressurser strekker til.

Den gode nyheten er at det faktisk ikke er en uoverkommelig oppgave. Og den enda bedre nyheten er at man, sammenlignet med tidligere praksis, til og med kan høyne informasjonssikkerheten, ved å angripe arbeidsoppgavene på en annen måte.

Informasjonssikkerhet skal ikke være et maratonløp

Hvis man skulle komme med en analogi til arbeidet med informasjonssikkerhet, kan man påstå at det i noen bedrifter er en tendens til å utføre de nødvendige sikkerhetsoppgaver som periodevise maratonløp.

Utarbeidelse av sikkerhetsprosedyrer, regelsett, risikovurderinger, beredskapsplaner, osv
har blitt til omfattende forløp som tar lang tid – og som dessuten koster mange penger, hvis man har hentet inn eksterne konsulenter. Ofte står ikke utbyttet i stil med innsatsen. På tross av gode intensjoner, ender mange planer opp i en skuff når man har utført en sikkerhetsoppgave.

Alle kan løpe 5 kilometer

Jakob Joensen er konsulentsjef i Neupart. Han anbefaler at man, i stedet for utmattende maratondistanser, tilrettelegger sikkerhetsarbeidet som ukentlige – og mer overkommelige –
'5-kilometere'.

«I stedet for at den sikkerhetsansvarlige blir fullstendig okkupert to eller tre ganger i året, gir det mer mening at bedriften deler oppgavene opp i en rekke delprosesser, som løpende avvikles over 12 måneder. Det innebærer også at det ikke er den sikkerhetsansvarlige som skal utføre alle oppgavene selv, men at arbeidet blir fordelt på forskjellige medarbeidere i organisasjonen», sier Jakob Joensen.

Årshjulet forankrer sikkerhetsoppgavene

Dette understøttes av årshjulstankegangen, hvor alle årets sikkerhetsoppgaver blir lagt inn i et system. Når det er tid for å utføre en oppgave, får den ansvarlige for en delprosess eksempelvis en e-post med en melding om at det nå er tid igjen for å utføre en oppgave. Deretter kan vedkommende bekrefte eller avkrefte endringer på området og avslutningsvis dokumentere utførelsen av oppgaven. 

«Hele ideen er at det er enklere og billigere å holde et årshjul langsomt kjørende, enn det er å hele tiden skulle 'skyve hjulet i gang igjen' etter en periode med en lang pause», sier Jakob Joensen.

Ut av kontoret og spør medarbeiderne!

Han anbefaler at den ansvarlige for en bedrifts informasjonssikkerhet i første omgang begynner å snakke med de menneskene som har innsikt i bedriftens delprosesser.

«Den sikkerhetsansvarlige skal spørre IT-utvikleren, brukerstøtte, IT-driftsmedarbeideren, den nettverksansvarlige, osv om hva de egentlig driver med – på samme måte som at de skal spørre medarbeiderne innen kundeservice, marketing, salg, produksjon og HR om det samme. Når de er ferdige med dette, har de et overblikk over virksomhetens kjerneoppgaver, hvilke systemer som understøtter utførelsen av de aktuelle kjerneoppgavene, og hvordan man passer på data.»

«Hvis man lykkes med å legge de enkelte oppgavene, og hvem som skal utføre dem, inn i et årshjul, er min påstand at oppgavene blir mye bedre forankret på tvers av organisasjonen, og at det høyner kvaliteten på informasjonssikkerheten i bedriften», avslutter Jakob Joensen.

 

Prøv styringssystem for informasjonssikkerhet gratis i 30 dager!

Neuparts verktøy Secure ISMS og Secure GDPR gir systemstøtte til arbeidet med årshjul og den kontinuerlige overholdelsen av GDPR, sikkerhetsstandarder og selskapets egne retningslinjer.

Få tilgang til demo her

 

Emner: personvernforordningen, GDPR, årshjul, kontinuerlig overholdelse av GDPR

Sikkert nok?

Neupart blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg