Systematiser arbeidet med informasjonssikkerhet
En ISO 27001-sertifisering er et glimrende utgangspunkt for å få kontroll med informasjonssikkerheten i egen virksomhet.
– ISO 27001 er en internasjonal anerkjent standard. Ved å implementere standarden i ledelsessystemet i bedriften, sikrer du konfidensiell og forretningskritisk informasjon på en systematisk og effektiv måte, sier teknisk leder for systemsertifisering i Kiwa, Harald Schjølberg, og legger til:
– ISO 27001 stiller krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et ledelsessystem for informasjonssikkerhet. Standarden passer for alle virksomheter, uavhengig av selskapsform, bransje og størrelse.
Få frem risikobildet
I dag er informasjons-infrastruktur og informasjon vesentlig for alle typer virksomhet. De fleste virksomheter i Norge har i dag omfattende risiko for tap av inntekter, omdømme og evne til å nå mål knyttet til hvordan man sikrer informasjonen. I tillegg er informasjon attraktive mål for kriminell virksomhet og terror. Samtidig oppbevares stadig mer sensitiv informasjon og personopplysninger elektronisk.
- Er vi klare til å stå imot eventuelle angrep?
Nei, mener Schjølberg. Det er fremdeles mange virksomheter som ikke har kartlagt hvilke risikoer man er eksponert for. Implementering av et ledelsessystem vil kunne gi rammer for en systematisk tilnærming til risiko og gi ledere beslutningsgrunnlag.
- Hvordan starte arbeidet med å sikre data og informasjon i virksomheten?
- Det første skrittet bør være å definere bedriftens kontekst med emner som, hvem er vi, hvor er vi, hva består vi av, hvilke ressurser har vi, hvilke markeder arbeider vi innen. Deretter bør man avklare hvilke krav og forventninger som stilles til virksomheten, hvilke krav og forventninger har kunder, hvilke myndighetskrav finnes, hvilke lover og regelverk gjelder? Finnes det krav fra ansatte som for eksempel kan være regulert i tariffavtaler? Hvilke kontrakter og avtaler har bedriften med sine leverandører?
- Når dette er kartlagt, har man rammer for å gjennomføre en kartlegging av risikoer og etablere et ledelsessystem som adresserer disse, sier Schjølberg, og fortsetter:
– Sertifiserte bedrifter og organisasjoner viser gjennom ISO 27001-sertifikatet at de har erkjent risikobildet og jobber systematisk med å redusere risikoen i egen organisasjon.
Schjølberg mener at bedrifter ikke har råd til å la være å ta informasjonssikkerheten på alvor.
– Det handler om kontinuerlig og systematisk identifikasjon og bearbeidelse av risiko. I prosessen utvikler organisasjonen større bevissthet om aktuelle trusler. Summen av dette gjør at risikoen for tap av informasjon reduseres. I tillegg kan risikoer i noen tilfeller representere muligheter. En vellykket implementering av ISO 27001 kan gi ledelsen et verktøy for å synliggjøre muligheter og utnytte disse, poengterer Schjølberg.
Sikker datahåndtering
Schjølberg understreker at bevisstgjøring om risikoer, trusler og sårbarheter i forbindelse med datahåndtering stadig er påkrevet i norske bedrifter. Hvert år i oktober arrangerer Norsk Senter for Informasjonssikring (NorSIS) Nasjonal sikkerhetsmåned. Målet er å øke kunnskapen og bevisstheten rundt digital sikkerhet. Som en av fjorårets samarbeidspartnere produserte Kiwa flere korte informasjonsvideoer, og i år er planen å publisere flere podkaster i løpet av høsten.
Et topplederansvar
Schjølberg påpeker at informasjonssikkerhet er et topplederansvar.
– Toppledelsen skal sikre forsvarlig drift og økonomi. Det handler om å beskytte bedriftens verdier og å gi organisasjonen rammer for å nå sine visjoner, sier han.
Hver dag skjer et titalls millioner cyber-angrep rundt om i verden. I mange bedrifter i Norge er IT-verktøy en sentral del av produksjonsprosessene. Tap av data i produksjonsprosessen kan direkte medføre at bedriften ikke kan levere og kan få store økonomiske konsekvenser. Produksjonsdata som blir tilgjengelige for utenforstående kan også skade bedriftens evne til å opprettholde sitt teknologiske forsprang.
– Å jobbe systematisk med informasjonssikkerhet vil alltid lønne seg. Med ISO 27001 er bedriften rustet til å møte utfordringene, avslutter Schjølberg.