Ola er ansatt i HR-avdelingen. Han har ansvar for oppfølging av ansatte. Hvordan kan han bruke e-post i sin arbeidshverdag og samtidig ivareta informasjonssikkerheten?

Mange virksomheter har utfordringer med å få de ansatte til å forstå krav til informasjonssikkerhet og hvorfor dette gjelder dem. Samtidig er det et faktum at vi alle står i dilemmaer i arbeidshverdagen, der vi kanskje ikke tenker på at vi foretar avveininger som nettopp gjelder informasjonssikkerhet.

Når du opplever slike dilemmaer kan du være sikker på at du ikke er alene. Dette gjelder uavhengig av om du er ansatt i offentlig eller privat sektor.

Skape refleksjon

Vi i Difi har derfor utformet en dilemmatrening som skal bidra til å skape refleksjon blant de ansatte. Dilemmatreningen er laget for å være et fleksibelt opplæringsverktøy. Difi har laget en grunnpakke som består av en duk, ni dilemmaer, åtte perspektiver og anbefalinger for hvordan man kan ta dette i bruk. Disse kan lastes ned fra våre nettsider, til fri benyttelse.

Mange virksomheter har tatt i bruk dilemmatreningen, og stadig flere virksomheter lager nå egne dilemmaer. Vi i Difi har derfor publisert nye dilemmaer laget av andre offentlige virksomheter.

Resonnere frem en løsning

Poenget med dilemmatreningen er å skape bevissthet rundt at det som regel er flere hensyn som må ivaretas. Dermed vil de ansatte lettere kunne forstå hvorfor reglene er som de er. Dersom de kommer opp i nye situasjoner, kan de også lettere resonnere seg frem til hva de bør gjøre.

Her er noen eksempler på dilemmaer:

  • Eva jobber i en avdeling som ikke legger særlig vekt på formelle prosedyrer og øvelser.  Hverken ledelsen eller de ansatte i avdelingen ser behovet for å øve på sikkerhetshendelser eller å holde beredskapsplanen oppdatert. Eva er usikker på om det virkelig er nødvendig å bruke ressurser på øvelser fremfor produksjon?

  • Samir husker at informasjonssikkerhetsleder snakket om å låse PC’en på nyansattkurset han deltok på for lenge siden, men har egentlig aldri forstått hvorfor han skal låse PC’en. Alle i landskapet jobber på det samme prosjektet og har de samme tilganger. Hvorfor skal de låse PC-ene sine?

Ingen fasit

Eksemplene viser litt av bredden i dilemmaene vi alle opplever i det daglige. Som regel er det ingen fasit. Hvilken adgangskontroll man skal ha, vil for eksempel være helt avhengig av hvilken informasjon som behandles og hvilke andre sikkerhetstiltak som allerede er på plass. Dilemmaene våre har stort sett tatt utgangspunkt i at det ikke er noe svar som er riktig for alle. Dersom det er ett (og bare ett) riktig svar, så er det ikke noe dilemma.

Informasjonssikkerhet handler om å avveie behovet for konfidensialitet, integritet og tilgjengelighet. De gode løsningene kan være vanskelige å finne, men gjennom en bevisst tilnærming skal det være mulig.

Les om dilemmatrening under ressursoversikt på infosikkerhet.difi.no

Forfatter

Caroline Ringstad Schultz
Caroline Ringstad Schultz
Fungerende seksjonssjef Caroline Ringstad Schultz, avdeling for digital forvaltning, seksjon for informasjonssikkerhet og datadeling, m. 970 98 560 carolineringstad.schultz@difi.no

Kommentarer

Skriv ny kommentar

* obligatorisk felt som du må fylle ut for å sende skjemaet.