Grunnprinsipper for sikkerhetsstyring
Identifiser trusler
Hvem kan ønske å ramme virksomhetens verdier? Hvilken intensjon kan noen ha med å ramme verdiene? Hvilken kapasitet vil noen kunne ha til å ramme verdiene? Ulike verdier tiltrekker seg ulike trusselaktører, og ulike trusselaktører kan benytte ulike metoder for å oppnå sine mål. For eksempel kan en virksomhet med et konkurransefortrinn, basert på en forretningshemmelighet, være utsatt for spionasje fra konkurrerende virksomheter eller kriminelle. Mens en virksomhet som understøtter funksjoner av betydning for nasjonal sikkerhet kan være mål for fremmedstatlige aktørers etterretning og sabotasje.
Kilder til relevant informasjon om trusler kan være:
- Offentlige myndigheters publikasjoner om trusler og utviklingstrekk
- Relevante bransjeorganisasjoners publikasjoner om trusler og utviklingstrekk
- Internasjonale organisasjoners publikasjoner om trusler og utviklingstrekk (NATO, EU, sektorspesifikke organisasjoner, med mer)
- Store konsulentselskapers og sikkerhetsleverandørers offentliggjorte publikasjoner om trusler og utviklingstrekk
- Politidistriktet for området
- Sikkerhetsorganisasjonen i virksomheter i samme etat eller bransje
- Sikkerhetsorganisasjonen i virksomheter i samme geografiske område (nabovirksomheter)
- Virksomhetens registre over interne sikkerhetsbrudd og sikkerhetstruende hendelser
Hvorfor er dette viktig: Kunnskap om hvilke trusler som kan ramme virksomhetens verdier er en forutsetning for å kunne planlegge sikkerhetstiltak som er tilstrekkelig dimensjonerte.
Anbefalte tiltak:
- Innhent informasjon om trusselbildet ved å bruke ulike kilder.
- Identifiser relevante trusselaktører som kan tenkes å true virksomhetens verdier og kategoriser disse
- Vurder relevante trusselaktørers intensjon og kapasitet til å ramme virksomheten og verdiene.
- Ranger trusselaktører, basert på vurderingen av intensjon og kapasitet