9 oktober 2020

Sikrere digital hverdag

Sikkerheten rundt informasjon er noe alle bedrifter må forholde seg til. Hvordan behandles sensitive opplysninger? Er risikoen for tap av forretningskritisk informasjon vurdert? Hvordan håndteres et sikkerhetsbrudd?

Natalia Koneva, revisjonsleder i Kiwa, fremhever at en sertifisering er et glimrende utgangspunkt for å få kontroll i egne rekker.

- En sertifisering er kort sagt en tredjeparts bekreftelse på at du oppfyller kravene i en standard, forklarer Koneva.

- ISO/IEC 27001 – Sertifisering av ledelsessystem for informasjonssikkerhet – er verdens mest anerkjente standard for datasikkerhet. Den passer for alle virksomheter, uavhengig av selskapsform, bransje og størrelse, sier Koneva og fortsetter:

- Standarden har en helhetlig tilnærming til IT-sikkerhet og beskriver beste praksis for å beskytte organisasjoners data. Den har også søkelys på informasjonssikkerheten i bedriftens leverandørkjede.

Fokus på bestillerkompetanse

Ved bestilling av eksterne IT-tjenester skal man, ifølge Koneva, ikke ta for gitt at leverandøren har full kontroll over informasjonssikkerheten. Som bestiller har man heller ikke alltid kunnskap om hva som bør sjekkes eller hvordan oppfølgingen skal skje.

Koneva peker på at en leverandør ofte har underleverandører, som i mange tilfeller holder til i utlandet.

- En kjede er ikke sterkere enn det svakeste leddet. Jo lenger leverandørkjeden din er, jo større blir den digitale sårbarheten. Det er helt nødvendig å utarbeide en leverandøravtale som sikrer dine data i tilstrekkelig grad, sier Koneva.

Hun anbefaler å stille som et minimumskrav at leverandører har etablert et styringssystem for informasjonssikkerhet og er sertifisert i henhold til ISO 27001.

Trygge arbeidshverdagen

Koneva fremhever at alle i organisasjonen bør ha et bevisst forhold til hvilken informasjon de håndterer og hvilke krav som stilles til informasjonsbehandlingen.

- Arbeidet med informasjonssikkerhet må være forankret i ledelsen. Det er ledelsens ansvar å legge til rette for opplæring og kontinuerlig trening, forteller Kona.

- Prosesser og prosedyrer skal også være lett tilgjengelige for alle i organisasjonen, slik at medarbeiderne er trygge på hvilke retningslinjer, lovkrav og rutiner som gjelder for det arbeidet de utfører, understreker Koneva.

Kontinuerlig forbedringsprosess

Sikkerhetskulturen er en del av organisasjonskulturen. Det dreier seg om hvilke verdier og normer som ligger til grunn for den enkeltes håndtering av informasjon og systemer.

- Ved å innføre et ledelsessystem for informasjonssikkerhet kan du sikre konfidensiell og forretningskritisk informasjon på en systematisk og effektiv måte, sier Koneva og tilføyer:

- Å vise til et ISO 27001-sertifikat kan også øke troverdigheten og forbedre markedsposisjonen din.

Koneva poengterer at en sertifisering fremfor alt fungerer som et verktøy i arbeidet med kontinuerlig kvalitetsforbedring.

- Sertifikatet er gyldig i tre år. Fram til resertifiseringen gjennomføres årlige oppfølgingsrevisjoner der en finner forbedringspunkter og gjør observasjoner. Gjennom denne prosessen blir organisasjonen ansporet til å jobbe systematisk med risiko og risikoreduserende tiltak, avslutter Koneva.

Les mer om sertifisering for informasjonssikkerhet.