Hvordan sørge for god informasjonssikkerhet i din organisasjon?
Trusselbildet er dessverre i stadig endring og det er vanskelig å holde følge med utviklingen. Så hvordan kan du jobbe på en god måte med informasjonssikkerhet for å redusere muligheten for at din organisasjon blir utsatt for en skadelig hendelse?
Det korte svaret er at du må jobbe helhetlig med informasjonssikkerheten – men hvordan gjør du det? La oss se på noen fundamentale og viktige elementer.
Forankring i ledelsen
Det er avgjørende at ledelsen i organisasjon din har forståelse for hvorfor informasjonssikkerhet er viktig, og at de gir sin støtte til informasjonssikkerhetsarbeidet. Uten dette vil det være veldig vanskelig å gjennomføre viktige tiltak for å bedre sikkerheten. Derfor er dette selve grunnsteinen i ditt informasjonssikkerhetsarbeid. Ikke ta det for gitt at ledelsen ser viktigheten av dette eller har en umiddelbar forståelse for hva informasjonssikkerhet handler om.
Før du har innledende drøftelser med ledelsen bør du ha satt deg inn i noen trusler som kan berøre dere, hvilke tiltak dere kunne ha innført og hva dere risikerer om dere ikke gjennomfører tiltakene. Du bør også gjøre ledelsen oppmerksom på hvilke plikter de har ovenfor myndighetene ved hendelser, og hvilke konsekvenser det kan få hvis de ikke har innført tilfredsstillende tiltak dersom det skulle oppstå en sikkerhetshendelse. Men pass på å ikke ha et negativt fokus – det er også viktig å belyse at god informasjonssikkerhet er en fordel!
Om din organisasjon er en leverandør er det viktig å huske på at flere og flere kunder i dag krever at leverandørene deres har god informasjonssikkerhet, og flere krever også at man er sertifisert. Så om man overser informasjonssikkerheten kan det føre til at man blir mer sårbar for angrep, men også at man mister kunder.
Styringssystem for informasjonssikkerhet
Helhetlig informasjonssikkehetsarbeid inneholder en rekke kontroller, dokumenter og oppgaver man skal jobbe med og følge opp. Når man setter dette i system, kaller man det et styringssystem. Noen velger å bruke Office-produktene (som Excel og Word) til dette. Men dette blir fort uoversiktlig og tungvint. Det er mye bedre å bruke et verktøy som er lagt for formålet!
Et godt verktøy vil minne deg på hvilke oppgaver du bør gjøre når tiden er inne for det, det vil vise deg hvilke områder du er ferdig med og hvilke du bør jobbe mer med. Og det vil kunne gi de ansatte i organisasjonen din tilgang på den informasjonen de trenger.
Kontinuerlig forbedring
Man blir aldri ferdig med informasjonssikkerhetsarbeidet. Uten kontinuerlig forbedring vil sikkerheten over tid bli utdatert og irrelevant. Det er derfor viktig å jobbe med kontinuerlig forbedring. Dette gjøres for eksempel ved å gjennomføre regelmessige risikovurderinger og se om tiltakene man har på plass fortsatt er dekkende eller om man bør gjøre endringer.
Bevisstgjøring
De ansatte i en organisasjon spiller en viktig rolle i informasjonssikkerhetsarbeidet, for eksempel ved å følge retningslinjene for forsvarlig bruk av datautstyr. For å hjelpe dem med å gjøre det er det viktig at du legger til rette for god bevisstgjøring. Dette må gjøres jevnlig, for bevisstgjøring er ferskvare.
Vi i ProsessPilotene har erfaring med innføring og drift av styringssystem for informasjonssikkerhet. Vårt styringssystem er ISO 27001-sertifisert, som betyr at en ekstern revisor har gjennomgått styringssystemet vårt og sett at det følger beste praksis som definert i ISO 27001. Vi kan hjelpe deg med de fleste aspektene av informasjonssikkerhetsarbeidet i din organisasjon – bare ta kontakt!
