av Bente Hoff

Innlegget ble publisert som kronikk i Finansavisen 2. oktober 2017.

Norske virksomheter blir stadig mer oppmerksomme på sikkerhetsutfordringer ved bruk av IKT, men mange sliter med å omsette gode intensjoner i riktige prioriteringer og tiltak. En rød tråd mangler mellom prioriteringene toppledelsen gjør og de sikringstiltakene som iverksettes i IKT-systemene og i organisasjonen.

Ofte har IT-avdelingen fått på plass sikringstiltak som er fornuftige, men hvis tiltakene ikke er forankret i ledelsen blir ikke sikkerhetsarbeidet prioritert som del av den løpende styringen av virksomheten. Resultatet viser seg ofte å være at feil tiltak blir implementert. Viktige tiltak er utelatt eller glemt fordi det ikke er en helhetstankegang ved utvelgelse. I verste fall kan tiltakene virke mot sin hensikt. Sikringstiltakene er kanskje riktig implementert, men ikke nødvendigvis på rett sted.

Det er ingen mangel på tilgjengelig informasjon om hvordan en virksomhet skal sikre sine IKT-systemer og infrastruktur. All informasjonen kan fort bli en jungel av konkurrerende muligheter og krav som distraherer fra å gjøre de riktige prioriteringene.  

Rask digitaliseringstakt og et risikobilde i stadig endring kompliserer ytterligere og gjør at virksomhetene ofte går seg vill i sikringsarbeidet.

Man må derfor spørre seg hvordan vi kan holde kunnskap og teknologi oppdatert og sikret.  Er det noen tiltak som er viktigere enn andre?  Er det et sted man bør starte? Og hvordan sørge for at det etableres fundamentale prinsipper for sikring, måling og forbedring som følges opp over tid?

Et råd er å bruke NSMs nye Grunnprinsipper for IKT-sikkerhet som verktøy i arbeidet. Grunnprinsippene definerer et sett med prinsipper for hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser.  Tiltakene er utformet med bakgrunn i Nasjonal sikkerhetsmyndighets kunnskap om risiko og kjente sårbarheter i cyberdomenet.  I sum inkluderer grunnprinsippene bredden av sikringstiltak som består av barrierer, deteksjon, verifikasjon og reaksjon for å etablere god sikkerhet i dybden.  Tiltakene som er beskrevet er ikke nødvendigvis tilstrekkelige for å beskytte en konkret tjeneste. Det kan også være at lovverk og regelverk medfører strengere sikringskrav. Men grunnprinsippene er et godt fundament å bygge på.

I tillegg til å beskrive ulike tiltak, beskrives også hvorfor et tiltak bør prioriteres og hvordan de ulike tiltakene kan ses i sammenheng.  Prinsippene kan derfor være til hjelp i dialogen mellom øverste ledelse og de som implementerer tiltak i virksomheten.   Denne kommunikasjonsjobben er et ansvar som ofte faller på forretnings- og IT-ledere i mellomledelsen. I tillegg til å beslutte rammeverk og retningslinjer må mellomledelsen også kommunisere et korrekt risikobilde til toppledelsen og andre risikoeiere. 

NSMs Grunnprinsipper for IKT-sikkerhet adresserer det faktum at noen sikringstiltak er mer effektfulle enn andre og ulike tiltak må ses i en sammenheng. Det er allikevel viktig å poengtere at dette ikke erstatter virksomhetens sikkerhetsstyringsarbeid.  Sikkerhet må være en integrert del av virksomhetsprosessene hvor både ansvar og oppgaver for å utøve sikkerhet ligger hos den enkelte medarbeider og leder.   

Valg og prioritering av sikringstiltak er et kontinuerlig arbeid som vil kreve enda mer oppmerksomhet i morgen og til neste år enn det gjør i dag. Det er bare å brette opp ermene.