Mange virksomheter har policyer, tekniske løsninger og ulike sikkerhetstiltak på plass, men mangler likevel et strukturert arbeid med informasjonssikkerhet. Resultatet er ofte at ressurser brukes feil, at risikoer overses, og at viktige sikkerhetstiltak kommer på plass for sent.
For å få kontroll holder det ikke med enkeltstående tiltak. Virksomheten må forstå hvilke informasjonsverdier som er mest kritiske, hvilke konsekvenser ulike hendelser kan få, og hvordan riktig beskyttelsesnivå skal knyttes til riktig informasjon.
Informasjonssikkerhet handler ikke bare om brannmurer, antivirus eller tekniske systemer. Det handler også om hvordan informasjon håndteres i virksomheten, hvem som har tilgang til den, og hvordan virksomheten sikrer at informasjonen er tilgjengelig når den trengs.
Når informasjonssikkerhet behandles som et rent IT-spørsmål, er det lett å miste oversikten over viktige områder som ansvar, rutiner og kontroll over informasjonsverdier.
Informasjonssikkerhet påvirker dessuten både økonomi, etterlevelse av regelverk, tillit og virksomhetens evne til å fungere.
En informasjonsverdi er all informasjon som har verdi for virksomheten, og som derfor må beskyttes. Det kan for eksempel være:
Likevel mangler mange virksomheter en tydelig oversikt over hvilke informasjonsverdier som er viktigst – og hvilke konsekvenser det kan få dersom de går tapt, blir endret eller blir utilgjengelige.
Det er også viktig å forstå forskjellen mellom primære og sekundære informasjonsverdier.
Den primære informasjonsverdien er selve informasjonen, for eksempel et kunderegister. Den sekundære informasjonsverdien er det som brukes for å lagre, behandle eller håndtere informasjonen – som servere, nettverk eller systemer.
En hendelse oppstår ofte i en sekundær informasjonsverdi, men konsekvensen rammer den primære informasjonsverdien når informasjon blir utilgjengelig eller havner hos uvedkommende.
Ikke alle informasjonsverdier er like sensitive eller kritiske. Derfor må virksomheter klassifisere informasjonen sin.
Klassifisering bygger ofte på KRT-modellen:
Klassifiseringen hjelper virksomheten med å forstå hvilken beskyttelse informasjonen trenger, og hvilke risikoer som er mest kritiske.
Uten klassifisering risikerer virksomheten å:
Da blir informasjonssikkerhetsarbeidet både reaktivt og kostbart.
Uten risikovurderinger blir det vanskelig å forstå hvilke trusler og sårbarheter som finnes i virksomheten.
Trusler kan for eksempel være:
Sårbarheter kan være:
Det er kombinasjonen av trusler og sårbarheter som skaper risiko. En trussel blir spesielt alvorlig når det finnes en svakhet som gjør at trusselen faktisk kan få konsekvenser.
Mange virksomheter jobber reaktivt og forsøker å løse problemer først når skaden allerede har skjedd. En mer proaktiv tilnærming handler i stedet om å identifisere risikoer før hendelser oppstår.
Med NIS2 blir informasjonssikkerhet i stadig større grad et ledelsesansvar.
NIS2-direktivet stiller strengere krav til hvordan virksomheter skal jobbe med cybersikkerhet og risikostyring. Målet er å styrke sikkerheten i samfunnskritiske og viktige virksomheter, og redusere konsekvensene av digitale hendelser.
Virksomheter må kunne dokumentere at de:
Det er ikke lenger nok å ha enkelte tekniske sikkerhetstiltak på plass. Virksomheten må kunne vise at informasjonssikkerhetsarbeidet er gjennomtenkt, dokumentert og kontinuerlig.
Ledelsen får også et tydeligere ansvar for cybersikkerhetsarbeidet. Derfor må ansvar, ressurser og prioriteringer være forankret på riktig nivå i organisasjonen.
Leverandørkjeden blir samtidig en viktig del av arbeidet. Hvis eksterne leverandører har tilgang til virksomhetens informasjon, må virksomheten ha oversikt over:
Ifølge ISO 27001 starter informasjonssikkerhetsarbeidet med å identifisere virksomhetens informasjonsverdier.
Deretter må virksomheten:
Informasjonssikkerhet krever kontinuerlig arbeid og tydelige ansvarsforhold.
Informasjonssikkerhet handler ikke om ett enkelt tiltak. For å få kontroll må virksomheten forstå sine informasjonsverdier, klassifisere dem riktig og jobbe strukturert med risiko over tid.
Det er først da informasjonssikkerhet går fra teori til faktisk kontroll i virksomheten.
Mange virksomheter mangler i dag en tydelig og bærekraftig måte å jobbe på.
Med vår helhetsløsning blir det enklere å jobbe mer strukturert, samle dokumentasjon og få bedre kontroll over viktige prosesser.
Plattformen utvikles også kontinuerlig med nye funksjoner innen informasjonssikkerhet.
Ta gjerne kontakt med oss dersom dere ønsker å diskutere hvordan dere kan komme videre på en enklere og mer strukturert måte.