NIFS - 20. november 2014 - Hendelsesbanker

Seksjon for informasjonssikkerhet i Difi jobber for tiden med en praktisk rettet veiledning for internkontroll for informasjonssikkerhet. Dette møtet ble derfor et kombinert NIFS-møte og prosjektreferansegruppemøte.

Publisert: 15. des 2014, Sist endret: 28. mar 2017

Tema for møtet var hendelsesbanker; «hvilke typiske hendelser kan skje i ulike kontekster?». Hendelsesbanker kan, gjerne i kombinasjon med workshop-er, være et svært nyttig hjelpemiddel når virksomhetene skal gjennomføre risikovurderinger. Imidlertid er det viktig å skille mellom de risikovurderingene som gjennomføres i fagavdelingene – dvs i linjen – og de som utføres av systemeier/-forvalter. Et tredje perspektiv er infrastrukturnivå.

Seksjonssjef Lillian Røstad åpnet dagen med å introdusere seksjonens handlingsplan. Det var ønskelig med tilbakemeldinger innenfor de ulike tiltaksområdene fra møtedeltakerne, da det blant annet er disse som er seksjonens målgruppe. Tilbakemeldingene ble tatt muntlig underveis, etterhvert som tiltaksområdene ble gjennomgått.

Etter lunsj ble møtet lagt opp som workshop ved at deltakerne ble plassert i til sammen syv grupper. Hver gruppe skulle diskutere seg frem til et sett av hendelser og tilhørende kategorier. Den første deloppgaven gjaldt hendelser som kan være relevante for linjen. Den andre deloppgaven gjaldt for systemeier/-forvalter.

Forslagene hver gruppe kom frem til ble dokumentert på Post-It lapper limt på A3-ark som senere ble samlet inn til bruk i det videre arbeidet med veiledningsmateriellet. Gruppene presenterte etter hver seanse sine forslag.

Vi avsluttet dagen med oppsummering, også dette gruppevis. Vi ønsket tilbakemelding på om konseptet hendelsesbanker oppleves nyttig, og vi ønsket innspill til temaer til de neste NIFS-møtene.

De aller fleste mener hendelsesbanker er nyttige i risikovurderingsarbeidet. Det ble påpekt at hendelsene/scenarioene Difi legger inn i veiledningsmateriellet vil være å anse som eksempler, og at det er meningen at hver virksomhet må tilpasse disse til sitt behov. Det kan også tenkes at det vil være hensiktsmessig å supplere hendelsesbankene med idédugnader (brainstorming, workshop) og eventuelt hendelsesmodellering.

Det kom også tilbakemelding på at tre-delingen vi snakket om (linje, systemeier, infrastruktur) kunne fremstå som noe komplisert, hvilket betyr at Difi må forklare dette på en god måte i veiledningsmateriellet.

NIFS-møtene i 2015 Temaer for de neste NIFS-møtene er ennå ikke satt, bortsett fra april-møtet som vil bli gjennomført som en beredskapsøvelse. Innspill til de tre øvrige møtene var blant annet:

  • Eget møte om trusselmodellering
  • Verdivurderinger
  • Sikkerhetskultur (awareness)

Deldette

Kommentarer

Skriv ny kommentar

* obligatorisk felt som du må fylle ut