NIFS – 4. februar 2015 – Sikkerhetsopplæring og bevisstgjøring

Seksjon for informasjonssikkerhet arrangerte NIFS-møte den 4. februar. Tema for møtet var sikkerhetsopplæring og bevisstgjøring.

Publisert: 12. feb 2015, Sist endret: 28. mar 2017

God og effektiv opplæring innen informasjonssikkerhet er for mange virksomheter en utfordring. Dette ble derfor tema for årets første møte i NIFS.

Lillian Røstad innledet møtet med en kort presentasjon av nyheter fra seksjon for informasjonssikkerhet. Her ble det nevnt at en handlingsplan for informasjonssikkerhet er under utarbeidelse, og denne vil legge føringer på seksjonens videre arbeid. Seksjonen vil i år bl.a. fokusere på følgende prosjekter/oppgaver:

  • Prosjektet «Internkontroll i praksis» skal i år ferdigstille veiledning og malverk for internkontroll innen informasjonssikkerhet
  • Prosjektet «Beredskap og øvelser» skal utarbeide veiledere i hendelseshåndtering, beredskapsplanlegging samt planlegging og gjennomføring av øvelser
  • Vi er i gang med en kartlegging av kunnskap om informasjonssikkerhet i utviklingsprosjekter. Resultatene vil bli publisert i slutten av mars, og sluttrapporten skal benyttes som baseline for arbeidet videre
  • Prosjektet «Kunnskap- og kulturutvikling»

I tillegg ble Thorbjørn Ellefsen presentert som nyansatt i seksjonen. Han skal arbeide med sikkerhetsarkitektur.

Etter presentasjonen av seksjonens fokusområder for 2015, presenterte NIFS-deltagerne kort hva den enkelte arbeidet med akkurat nå. Flere av deltagerne arbeidet naturlig nok med opplæringsaktiviteter innen informasjonssikkerhet. I tillegg arbeidet flere med etablering og revidering av styringssystemet for informasjonssikkerhet, risikovurderinger, etablering/videreutvikling at IT-systemer og verdivurderinger.

Etter gjennomgangen fra deltagerne ga Caroline Ringstad Schultz en kort innføring i hvorfor man trenger opplæring innen informasjonssikkerhet og en introduksjon til seksjonens nye prosjekt «kompetanse- og kulturutvikling». Et utdrag av prosjektets leveranser ble presentert, etterfulgt av en presentasjon av noen av funnene fra kartleggingen av opplæringstiltak i virksomhetene og evalueringen av NIFS som ble sendt ut før jul.

Resten av tiden før lunsj ble benyttet til presentasjoner. Først ut var Trond Kobbeltvedt fra Statens innkrevingssentral, som fortalte om deres tilnærming til opplæringsarbeid. Han fokuserte både på hvordan opplæring kan settes i system som en del av styringssystemet, og ga gode tips og råd til opplæringsarbeid. Han fremhevet bl.a. viktigheten av å være synlig i virksomheten og humor, samt at compliance som motivasjonsfaktor fungerer dårlig.

NIFS er til for offentlig sektor, men denne gangen var PwC invitert for å snakke om sine erfaringer med dilemmatrening. Tore Maaø og Wenche Woldseth presenterte PwCs dilemmatrening; et dataspill. Spillet tar en time, og presenterer de ansatte for dilemmaer som kan dukke opp i ulike scenarioer de kan støte på gjennom sitt arbeid. Det første året spillet ble tatt i bruk hadde de ulike utfordringer, bl.a. tekniske, men året etter ble spillet populært.

Etter lunsj var det duket for gruppearbeid. Gruppene skulle svare på spørsmålene:

  • Hvilke opplæringstiltak innen informasjonssikkerhet har dere i din virksomhet?
  • Hva ønsker dere fra Difi?
  • Er det ønskelig å dele eksempler på opplæringstiltak?

Forslagene hver gruppe kom frem til ble dokumentert på store ark eller på PC, og ble presentert i plenum. Innspillene ble senere samlet inn til bruk i Difis videre arbeid.

Mange av gruppene nevnte at de har opplæring for nyansatte innen informasjonssikkerhet. Hvordan dette blir gjennomført varierer, men både en-til-en samtaler, foredrag, og skriv, brukerinstrukser og erklæringer som skal underskrives, ble nevnt.

Flere har e-læring eller nanokurs for sine ansatte generelt, men det varierte om det var obligatorisk eller frivillig.

Det var også flere som nevnte tiltak som ikke fungerte optimalt. Det ble bl.a. nevnt at gode tiltak kan bli dårlig om man bruker dem feil, og at det er en utfordring å få med alle. Flere fremhevet derfor viktigheten av å tilpasse opplæringen til målgruppen.

Når det gjaldt hva Difi kunne bidra med, nevnte flere e-læringsplattform eller tilbud om e-læringmoduler og videoer. Mange ønsker at Difi etablerer en ressursbank for deling av eksempler, dilemmaer til dilemmatrening, tips og råd etc.

Andre tiltak som ble nevnt var etablering av mentorordning, og etablering av en kontaktbase for NIFS-deltagerne. Disse tiltakene vil kunne styrke kompetanseutvekslingen mellom deltagerne i NIFS. Det ble også nevnt at Difi kunne bidra med utarbeidelse av spørreundersøkelse innen informasjonssikkerhet og inngå rammeavtaler med leverandører på vegne av sektoren f.eks. om nanokurs.

Flere nevnte også konkrete temaer det var ønskelig at Difi fokuserte på, bl.a. phising, sosial manipulasjon, trusselbildet, ISO/IEC 27001, ledelsesforankring og sikkerhet i IKT-utvikling.

Mange av deltagerne var positive til å dele egne erfaringer, konkrete eksempler på opplæringstiltak, holde foredrag hos andre osv.

På tampen av møtet viste Britt Eva Bjerkvik Haaland noen utarbeidede videoer som skal inngå i det nye elæringskurset for ledere innen informasjonssikkerhet. I den forbindelse kom hun med en oppfordring:

  • Seksjonen ønsker seg noen «ambassadører» - toppledere - som kan ta kurset rett etter at det er ferdig og som vi etterpå kan få bruke i markedsføringen vår. Gjerne med et bilde og et lite sitat om hva de fikk ut av kurset.
  • NIFS-deltagerne vil være viktige innselgere av kurset til egne ledere og at en liten give-away som dere kan gi til dem, kan være smart. Hvilke ting tror dere at lederne vil sette pris på å få? Noe som blir tatt i bruk eller som blir stående fremme på skrivebordet deres som en påminnelse.

Deltagerne ble bedt om å sende navn på aktuelle ledere og eventuelle innspill per e-post til: BrittEvaBjerkvik.Haaland@difi.no

Dagen ble avsluttet med at Difi informerte om datoene for årets NIFS-møter. Neste møte vil være den 29 april, og blir en beredskapsøvelse. NIFS-deltagerne vil om ikke lenge motta en e-post med nærmere informasjon om øvelsen.

Deldette

Kontakt

Kommentarer

Skriv ny kommentar

* obligatorisk felt som du må fylle ut