Informasjonssikkerhet blir stadig viktigere for moderne organisasjoner. Historier om sikkerhetsbrudd og cyberangrep i store organisasjoner og offentlige institusjoner skaper jevnlig overskrifter. Et feilklikk, en glemt datamaskin eller manglende overholdelse av GDPR. Selv om de aller fleste organisasjoner har sikkerhetssystemer som skal forebygge risiko, er det ikke alle som har tilstrekkelig sikkerhetskompetanse.
Det er opp til ledelsen å sørge for informasjonssikkerheten, og vi har samlet en rekke beste fremgangsmåter for deg som ønsker å ta temperaturen på organisasjonens informasjonssikkerhetsarbeid.
Ta utgangspunkt i ISO 27001
Det finnes en rekke standarder som kan bidra til å sikre informasjonssikkerheten i en organisasjon, og den vanligste er ISO 27001.
Standarden stiller høye krav til styringssystemet for informasjonssikkerhet, som har en systematisk tilnærming til håndtering av forretningsinformasjon for å sikre at dataene forblir sikre.
ISO 27001 kan implementeres i både små og store organisasjoner i alle bransjer, og det finnes en rekke bestepraksiser å følge. Men før du kommer så langt, bør organisasjonen ta en grundig gjennomgang av hvilken verdifull informasjon den har og hvordan den er lagret - en omfattende kartlegging av det nåværende arbeidet med informasjonssikkerhet er avgjørende for å lykkes med standarden.
Når kartleggingen er på plass, er det lurt å ha følgende i bakhodet:
1) Få støtte av ledelsen
Informasjonssikkerhet kan ikke implementeres eller opprettholdes uten støtte fra ledelsen. Det er et prosjekt som starter på toppen og jobber seg nedover. Ledelsens engasjement må sikre at det finnes tilstrekkelige ressurser til å implementere, administrere, utvikle og vedlikeholde informasjonssikkerheten.
Hvis organisasjonen din er underlagt NIS2, blir dette trinnet spesielt viktig. NIS2 setter nemlig spesifikke krav til ledelsen – så de kan ikke lenger avfeie det og kaste ansvaret videre. Ledelsen må sikre samsvar og være drivkraften bak utviklingen og implementeringen av sikkerhetstiltakene.
2) Risikovurderinger som utgangspunkt
Uavhengig av hvilken del av informasjonssikkerheten som skal ivaretas, er det viktig at det alltid tas utgangspunkt i en risikobasert tilnærming. Sårbarheter og trusler må identifiseres slik at det kan gjøres risikovurderinger i forhold til organisasjonens risikoappetitt.
Målet er å få et helhetlig bilde av risikoene organisasjonen står overfor, slik at ressursene kan prioriteres og, viktigst av alt, de identifiserte risikoene kan reduseres.
LES OGSÅ: Mer om hva risikostyring er, og hvorfor det er viktig
3) Utarbeidelse av SOA
Standarden krever at det utarbeides en SOA, Service Oriented Architecture eller Tjenesteorientert arkitektur, som dokumenterer kontrollomfanget for hvert enkelt element.
Med SOA-programvare sikrer du at organisasjonen dekker alle relevante punkter og, viktigst av alt, at arbeidet og beslutningene dokumenteres korrekt.
4) Opplæring av ansatte
Informasjonssikkerheten avhenger av de ansatte, og derfor bør det jevnlig gjennomføres opplæring innenfor cybersikkerhet for alle medarbeidere.
Det finnes ingen teknologi som kan beskytte informasjon mot menneskelige feil - for eksempel å klikke på feil lenke - så de ansattes atferd må derfor tas på alvor som en mulig sikkerhetstrussel.
5) Regelmessig gjennomgang og oppdatering
For at informasjonssikkerhetssystemet skal være effektivt, bør det gjennomgås av ledelsen med jevne mellomrom som en del av internrevisjonen.
Resultatene av revisjonen og den regelmessige gjennomgangen dokumenteres og oppbevares, og eventuelle anbefalinger implementeres.
Hvorfor bruke ISO 27001?
Implementering av ISO 27001 kan virke som en omfattende prosess, men det er mange fordeler med å implementere standarden.
Først og fremst fungerer ISO 27001 som en systematisk tilnærming til styring av informasjonssikkerhet. Det er et styringsverktøy som hjelper organisasjoner med å beskytte verdifull informasjon - inkludert personopplysninger - på en sikker og pålitelig måte.
I tillegg gjør ISO 27001 det mulig å unngå kostbare bøter og økonomiske tap knyttet til utilsiktede feil eller angrep på informasjonssikkerheten.
Sammenhold verktøyene med virksomhetens ambisjoner
I arbeidet med å sikre informasjonssikkerhet og samsvar med ISO 27001, står virksomheter overfor en omfattende oppgave. En oppgave som innebærer en rekke komplekse prosesser, hvor virksomheter raskt kan miste oversikten over aktivitetene på tvers av avdelinger – spesielt hvis man bruker Excel. Dette kan føre til ineffektivitet og øke risikoen for datatap samt menneskelige feil når informasjonen bytter hender.
Det er avgjørende at virksomheter forholder seg til sitt ambisjonsnivå før selve arbeidet med informasjonssikkerhet begynner. Dette nivået danner nemlig grunnlaget for hele prosessen og bør styre hvor mange ressurser som dedikeres. Blant annet valget av verktøy og systemer som er tilgjengelige for de ansvarlige. Virksomheten må derfor definere sine behov og identifisere de ISMS-løsningene som gir mest mening for dem.
Samtidig er det viktig at virksomheten vurderer om løsningen er skalerbar og kan utvikle seg i takt med organisasjonens behov for bedre informasjonssikkerhet. Fleksibiliteten til å tilpasse seg nye trusler og regulatoriske krav vil sikre at virksomheten forblir beskyttet i den foranderlige verdenen av informasjonssikkerhet.
