Sikkerhet_2017-4_nett
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Relevant opplæring: La oss gjøre toppledelsen og styret gode på informasjonssikkerhet ved å gi den opplæringen som er relevant for<br />
dem, skriver A<strong>nett</strong>e Tinglum i NSR.<br />
Illustrasjon: Ilyafs/Shutterstock.com<br />
Få informasjonssikkerhet inn i ledelsen<br />
Å beskytte virksomhetens<br />
informasjon er ikke en<br />
jobb for amatører.<br />
Noen krav til informasjonssikkerhet<br />
er lovstyrt. Andre er det ikke. Landskapet<br />
er komplekst og det er lett å<br />
trå feil. Spesielt hvis du ikke vet hvor i<br />
landskapet risikoen ligger.<br />
Det er med andre ord med informasjonssikkerhet<br />
som det er med<br />
alt annet i virksomheten: Det krever<br />
kompetanse å være god, og alt som<br />
skjer er til syvende og sist ledelsens<br />
ansvar. Det betyr at den øverste ledelsen<br />
og styret må være litt gode i alt,<br />
men på en annen måte enn den ansatte<br />
fagkompetanse i det enkelte ledd.<br />
Relevant opplæring<br />
Veldig mange oppslag om informasjonssikkerhet<br />
er vanskelig å forstå<br />
og krever særskilt informasjonssikkerhets<br />
kunnskap for å komme seg<br />
gjennom. Eller så gir det et avmektig<br />
ønske om å ha slik kunnskap. For da<br />
kunne du som toppleder kjenne at du<br />
hadde kontroll? Ikke nødvendigvis.<br />
Antakeligvis er det noe annet du bør<br />
ha kunnskap om når du har den rollen.<br />
Jeg mener at for lite forebyggende<br />
informasjonssikkerhetsarbeid er<br />
rettet mot toppledere og styremedlemmer.<br />
Hva er det de trenger for å<br />
være gode på for virksomheten på<br />
informasjons sikkerhet? Det trenger<br />
ikke å være så vanskelig. Det dreier<br />
seg mye om styring, risiko og samsvar,<br />
altså kjente begreper.<br />
La oss gjøre toppledelsen og styret<br />
gode på informasjonssikkerhet ved å<br />
gi den opplæringen som er relevant<br />
for dem. Skreddersydd for det ansvaret<br />
de har, med et begrepsapparat de er<br />
vant til, og er komfortable med.<br />
Dagsorden<br />
Prøv gjerne å få svar på følgende<br />
spørsmål: Hva er virksomhetens viktigste<br />
verdier? Sikres de godt nok?<br />
Hvor er de? Hva er konsekvensen av<br />
de viktigste risikoene? Har vi satt av<br />
nok ressurser? Hvilke elementer bør<br />
underlegges kontinuerlig oppfølging<br />
og kontroll? Er medarbeiderne en del<br />
av risikoen og løsningen? Har vi god<br />
(nok) sikkerhetskultur?<br />
Det er med informasjonssikkerhet<br />
som med alt annet. Det toppledelsen<br />
setter på dagsorden, og følger opp,<br />
det blir gjort. Og dersom toppledelsen<br />
retter oppmerksomheten mot rett<br />
risiko på rett måte, da er mye gjort.<br />
A<strong>nett</strong>e Tinglum<br />
Seniorrådgiver<br />
i Nærings livets<br />
<strong>Sikkerhet</strong>sråd<br />
<strong>Sikkerhet</strong> nr. 4 • <strong>2017</strong> 57