Derfor mislykkes mange virksomheter med informasjonssikkerhetsarbeidet
Mange virksomheter har policyer, tekniske løsninger og ulike sikkerhetstiltak på plass, men mangler likevel et strukturert arbeid med informasjonssikkerhet. Resultatet er ofte at ressurser brukes feil, at risikoer overses, og at viktige sikkerhetstiltak kommer på plass for sent.
For å få kontroll holder det ikke med enkeltstående tiltak. Virksomheten må forstå hvilke informasjonsverdier som er mest kritiske, hvilke konsekvenser ulike hendelser kan få, og hvordan riktig beskyttelsesnivå skal knyttes til riktig informasjon.
Informasjonssikkerhet handler ikke bare om IT
Informasjonssikkerhet handler ikke bare om brannmurer, antivirus eller tekniske systemer. Det handler også om hvordan informasjon håndteres i virksomheten, hvem som har tilgang til den, og hvordan virksomheten sikrer at informasjonen er tilgjengelig når den trengs.
Når informasjonssikkerhet behandles som et rent IT-spørsmål, er det lett å miste oversikten over viktige områder som ansvar, rutiner og kontroll over informasjonsverdier.
Informasjonssikkerhet påvirker dessuten både økonomi, etterlevelse av regelverk, tillit og virksomhetens evne til å fungere.
Mange vet ikke hvilke informasjonsverdier som er mest kritiske
En informasjonsverdi er all informasjon som har verdi for virksomheten, og som derfor må beskyttes. Det kan for eksempel være:
- kunderegister
- personopplysninger
- databaser
- forretningssystemer
- dokumenter
- avtaler
- e-post
- kunnskap hos ansatte
Likevel mangler mange virksomheter en tydelig oversikt over hvilke informasjonsverdier som er viktigst – og hvilke konsekvenser det kan få dersom de går tapt, blir endret eller blir utilgjengelige.
Det er også viktig å forstå forskjellen mellom primære og sekundære informasjonsverdier.
Den primære informasjonsverdien er selve informasjonen, for eksempel et kunderegister. Den sekundære informasjonsverdien er det som brukes for å lagre, behandle eller håndtere informasjonen – som servere, nettverk eller systemer.
En hendelse oppstår ofte i en sekundær informasjonsverdi, men konsekvensen rammer den primære informasjonsverdien når informasjon blir utilgjengelig eller havner hos uvedkommende.
Uten informasjonsklassifisering blir sikkerhetsarbeidet reaktivt
Ikke alle informasjonsverdier er like sensitive eller kritiske. Derfor må virksomheter klassifisere informasjonen sin.
Klassifisering bygger ofte på KRT-modellen:
- konfidensialitet
- riktighet
- tilgjengelighet
Klassifiseringen hjelper virksomheten med å forstå hvilken beskyttelse informasjonen trenger, og hvilke risikoer som er mest kritiske.
Uten klassifisering risikerer virksomheten å:
- bruke ressurser på feil områder
- undervurdere kritiske risikoer
- overvurdere mindre viktige risikoer
- mangle grunnlag for beslutninger
- ikke oppfylle lovkrav
Da blir informasjonssikkerhetsarbeidet både reaktivt og kostbart.
Risikovurderinger gjøres ofte for sent – eller ikke i det hele tatt
Uten risikovurderinger blir det vanskelig å forstå hvilke trusler og sårbarheter som finnes i virksomheten.
Trusler kan for eksempel være:
- hackerangrep
- driftsstans
- strømbrudd
- menneskelige feil
Sårbarheter kan være:
- svake passord
- gamle servere
- mangelfulle rutiner
Det er kombinasjonen av trusler og sårbarheter som skaper risiko. En trussel blir spesielt alvorlig når det finnes en svakhet som gjør at trusselen faktisk kan få konsekvenser.
Mange virksomheter jobber reaktivt og forsøker å løse problemer først når skaden allerede har skjedd. En mer proaktiv tilnærming handler i stedet om å identifisere risikoer før hendelser oppstår.
NIS2 stiller strengere krav til virksomheter og ledelse
Med NIS2 blir informasjonssikkerhet i stadig større grad et ledelsesansvar.
NIS2-direktivet stiller strengere krav til hvordan virksomheter skal jobbe med cybersikkerhet og risikostyring. Målet er å styrke sikkerheten i samfunnskritiske og viktige virksomheter, og redusere konsekvensene av digitale hendelser.
Virksomheter må kunne dokumentere at de:
- identifiserer risikoer
- jobber systematisk med sikkerhetstiltak
- forstår konsekvensene av hendelser
- velger forholdsmessige sikkerhetstiltak
Det er ikke lenger nok å ha enkelte tekniske sikkerhetstiltak på plass. Virksomheten må kunne vise at informasjonssikkerhetsarbeidet er gjennomtenkt, dokumentert og kontinuerlig.
Ledelsen får også et tydeligere ansvar for cybersikkerhetsarbeidet. Derfor må ansvar, ressurser og prioriteringer være forankret på riktig nivå i organisasjonen.
Leverandørkjeden blir samtidig en viktig del av arbeidet. Hvis eksterne leverandører har tilgang til virksomhetens informasjon, må virksomheten ha oversikt over:
- hvilke tilganger som finnes
- hvordan sikkerheten følges opp
- hvilke risikoer som finnes i leverandørkjeden
Slik bygger du et mer strukturert informasjonssikkerhetsarbeid
Ifølge ISO 27001 starter informasjonssikkerhetsarbeidet med å identifisere virksomhetens informasjonsverdier.
Deretter må virksomheten:
- klassifisere informasjonen ut fra konfidensialitet, riktighet og tilgjengelighet
- identifisere trusler og sårbarheter
- vurdere risikonivåer og prioritere de mest alvorlige risikoene
- innføre tekniske og organisatoriske sikkerhetstiltak
- utpeke tydelige risikoeiere og følge opp risikoene over tid
Informasjonssikkerhet krever kontinuerlig arbeid og tydelige ansvarsforhold.
Fra innsikt til kontroll
Informasjonssikkerhet handler ikke om ett enkelt tiltak. For å få kontroll må virksomheten forstå sine informasjonsverdier, klassifisere dem riktig og jobbe strukturert med risiko over tid.
Det er først da informasjonssikkerhet går fra teori til faktisk kontroll i virksomheten.
Mange virksomheter mangler i dag en tydelig og bærekraftig måte å jobbe på.
Med vår helhetsløsning blir det enklere å jobbe mer strukturert, samle dokumentasjon og få bedre kontroll over viktige prosesser.
Plattformen utvikles også kontinuerlig med nye funksjoner innen informasjonssikkerhet.
Ta gjerne kontakt med oss dersom dere ønsker å diskutere hvordan dere kan komme videre på en enklere og mer strukturert måte.