Difi er statens kompetansemiljø for informasjonssikkerhet og gir blant annet råd og veiledning for hendelseshåndtering på informasjonssikkerhetsområdet i forvaltningen. Så hva gjør du når uhellet først er ute?

Hendelseshåndtering er skumle greier. Når en uønsket hendelse har oppstått, er det gjerne flaut, og det blir fort pinlig å være den som ble lurt eller gjorde en feil.

Ofte er det slik at virksomheten ikke oppdager hendelsene selv – det kan gjerne være media som står på døren og vil ha en kommentar. I slike situasjoner kan det være lett å fornekte hendelsen eller peke ut en syndebukk, eller reagere strengt på hendelsen og vise handlekraft. Da kan man fort glemme noen viktige deler av hendelseshåndteringen.

Oppdage og avdekke

Det er fordelaktig å kunne oppdage hendelser selv. Om man oppdager og avdekker hendelser raskt etter at de har inntruffet, vil man gjerne kunne avverge eller minimere konsekvensene i større grad enn når de blir oppdaget etter lang tid.

Hendelser kan blant annet oppdages gjennom automatisert overvåkning eller ved at egne ansatte eller eksterne rapporterer om hendelsen. For å sikre en god rapporteringskultur kan det være lurt å legge til rette for at det skal være lett å rapportere, og for at det ikke skal få negative konsekvenser for den som rapporterer.

Håndtere og reagere

Det er viktig å håndtere hendelsen når den inntreffer. Hvor raskt man bør reagere og hva man bør gjøre, avhenger av hendelsens alvorlighet. Dersom virksomheten har planer for håndtering av konkrete hendelser, kan dette sikre rask og riktig reaksjon når hendelsen først inntreffer.

Hvor hendelsen burde håndteres i virksomheten, avhenger av hvor alvorlig den er. Regjeringen har sagt at kriser skal organisatorisk håndteres på lavest mulig nivå. Dette gjelder også informasjonssikkerhetshendelser. Hvor strengt man skal reagere på en hendelse, avhenger gjerne av hvor alvorlig hendelsen er. På den ene siden bør man ikke bygge opp en fryktkultur fordi virksomheten trenger informasjon om avvik, og på den andre siden trenger man å avverge straffbare forhold og bevare tilliten hos brukere.

Lære

Det lønner seg å bruke tid på lære av hendelser. Bruk tid på å forstå hvordan hendelsen kunne finne sted, hva som skjedde og hva man kan gjøre for å unngå likende hendelser i fremtiden. Slik læring kan gjerne brukes til å forbedre rutiner, styrke kultur og kompetanse, oppdatere risikovurderinger og utarbeide nye tiltak.

Dokumentere

For å kunne bruke hendelser til læring og sørge for at kunnskapen fra hendelseshåndteringen ikke går tapt, er det viktig å dokumentere hendelsen og håndteringen, slik at dette kan benyttes systematisk i arbeidet med informasjonssikkerhet. Dette gjelder både store og små hendelser.

Til slutt er det viktig å huske på at en hendelse er en god mulighet for å avdekke og utbedre svakheter i informasjonssikkerhetsarbeidet.

Mer informasjon

Hendelseshåndtering er en av de systematiske aktivitetene virksomheter bør gjennomføre i sitt arbeid med internkontroll på informasjonssikkerhetsområdet. Du kan lese mer om denne og de andre aktivitetene som må gjennomføres i Difis veiledningsmateriell Internkontroll i praksis – informasjonssikkerhet.

Mer om Difis arbeid med informasjonssikkerhet kan du lese om på Difi.no, på nettsidene til Statens kompetansemiljø for informasjonssikkerhet.  

 

 

Forfatter

Kjetil Korslien
Kjetil Korslien
Kjetil Korslien er rådgiver i avdeling for digital transformasjon med informasjonssikkerhet som spesialområde.

Kommentarer

Skriv ny kommentar

* obligatorisk felt som du må fylle ut