Hvem er ansvarlig for cybersikkerhet?
Mange bedrifter i dag er avhengige av IT for effektiv informasjonshåndtering. Jo mer forretningskritisk informasjon, jo mer skade kan ulike risikoer eller trusler forårsake. Trusselbildet i dag er mer komplekst og cyberkriminelle er godt organisert.
Det har nok aldri vært mer aktuelt enn det er i dag å jobbe strukturert. Det vil si å implementere et ISMS - Information Security Management System for å identifisere risiko, beskytte, aktivt oppdage og forebygge, og gjenopprette systemer etter et brudd eller angrep - slik at driften kan gå tilbake til normalen så raskt som mulig.
Når det er sagt; det korte svaret på spørsmålet i overskriften over er at ALLE er ansvarlige for å opprettholde sin del av sikkerhetsforpliktelsen. Cybersikkerhet består av en kombinasjon av teknologi, prosesser og kontroller hvorav nøkkelelementet er den menneskelige faktoren. Hvis vi som organisasjon mangler bevissthet om kompleksiteten og risikoene vi er utsatt for, kan det være den faktoren som muliggjør et cyberangrep – uavhengig av hvilke tekniske løsninger som er implementert for å unngå dem.
Vi har definert tre ansvarsområder:
- Ledelse
- Brukere
- Teknisk personell
Ledelsen er ansvarlig for organisasjonens samlede sikkerhetsytelse, inkludert leverandører og partnere, samt den interne organisasjonen. Ledelsen definerer sikkerhetsomfang, roller, ansvar og mandat, og er ansvarlig for å finansiere cybersikkerhetsarbeidet. Gjennom kontrollmekanismer sikrer ledelsen innsikt som beslutningsgrunnlag for å etablere og opprettholde et akseptabelt risikonivå.
Brukere er ansvarlige for å ta del i opplæringsprogrammer og forstå og følge de styrende reglene og prosedyrene til selskapet. Brukere skal kunne oppdage og unngå angrep og rapportere hendelser og bekymringer.
Teknisk personell har ansvar for at organisasjonen har en sikker teknisk arkitektur i henhold til vedtatt risikonivå. IT-avdelingen må oversette forretningsmål, prosesser, regler og retningslinjer til tekniske implementeringer. Teknisk personell er også ansvarlig for å overvåke den daglige driften og evaluere og administrere tekniske endringer fra et sikkerhetsperspektiv.
Hvor starter vi?
Hvis organisasjonen din ikke har satt noen regler og ansvar angående sikkerhet, så er det på tide å gjøre det. Det er ikke 'IT-gutta' alene som har ansvaret. Sliter du med hvor du skal begynne? Et generelt tips er å starte ‘top-down’ ved å sette omfang og etablere roller med kapasitet og relevant kompetanse for organisasjonens sikkerhetsambisjoner. Sikkerhetsarbeidet bør struktureres i et Information Security Management System for å sikre effektivitet og at tiltak er basert på kost/nytte vurderinger og prioritert for best mulig å understøtte forretningsmål.