Oppsummering fra NIFS-møtet 21. februar

Tema for møtet var hvordan vi kommuniserer med ledelsen om informasjonssikkerhet. Oppmøtet var bra med rundt 45 deltakere fra start, selv om det var vinterferie i Oslo og Akershus.

Publisert: 06. mar 2018, Sist endret: 11. jan 2019

Håkon Styri fra Difi informerte om evalueringen av arbeidet med informasjonssikkerhet i statsforvaltningen, et oppdrag fra KMD. Han trakk fram noen funn fra spørreundersøkelsen Difi har gjennomført i forbindelse med evalueringen og ba deltagerne diskutere rundt disse slik at vi kunne få litt mer innsikt i bakgrunnen for svarene vi har fått.

  • Rekruttering av fagpersoner innen informasjonssikkerhet: Deltagerne sa at ressursmangel kan være en utfordring grunnet mangel på stillingshjemler og stor etterspørsel etter fagfolk i markedet.
  • Registrering av hendelser: Virksomheten må ha retningslinjer for hva som skal håndteres som en hendelse og registreres. Det er viktig å registrere hvem som detekterer en hendelse for å kunne forbedre evnen til å detektere. Noen virksomheter er tilknyttet NorCERT og får informasjon om hendelser derfra.
  • De 4 grunnleggende sikkerhetstiltakene til NSM: Et spørsmål i spørreundersøkelsen var hvilke av disse tiltakene som var implementert i virksomheten. Deltagerne påpekt at veileder for systematisk sikkerhet mangler fortsatt for Windows 10. 

Katrine Aam Svendsen fra Difi presenterte hva Difis internkontrollveilder i informasjonssikkerhet sier om kommunikasjon med ledelsen. 

Trond Sundby fra Bærum kommune ga oss et erfaringsforedrag om hvordan de rapporterer informasjonssikkerhetstemaer til ledelsen.

Gruppearbeid er en viktig del av NIFS-møtene. Denne gangen prøvde vi ut både en litt annen måte å legge opp diskusjonen på - Disney-metoden - og vi prøvde ut et digitalt verktøy som en erstatning for gule lapper. Deltagerne ble spurt om hvordan de likte dette og det gjorde de aller fleste, så dette kommer vi nok til å bruke videre.

Under finner dere det deltagerne skrev på de digitale lappene under diskusjonen. Det skal sies at flere av punktene under går på informasjonssikkerhet generelt og ikke på kommunikasjon med ledelsen spesielt, men er uansett nyttige ting å ta med seg.

Drømmeren - tenke stort: Hvordan vil vi aller helst kommunisere med ledelsen

  • Vi ønsker at ledelsen skal ha interesse og forståelse for at informasjonssikkerhet er viktig for dem for å nå virksomhetens mål
  • At informasjonssikkerhet er etterspurt av ledelsen
  • Faste møter hver måned
  • Fast tema på toppledermøter
  • Ønsker at alt som er relevant, kobles inn på virksomhetens aktiviteter, satsingsområder og fokus
  • Ønsker  at informasonsikkerhet er integrert med all annen styring
  • Økt kunnskap hos ledelsen
  • Uendelig med ressurser
  • At måling og revisjon etterspørres
  • Jevnlige eksterne tilsyn
  • Innebygd informasjonssikkerhet i alle systemer og tjenester
  • Ønsker at informasjonssikkerhet er tydelig i tildelingsbrevet
  • Ønsker at alle ansatte er interessert i informasjonssikkerhet
  • At alle ansatte har en minimumskunnskap om temaet
  • Ønsker at alle melder avvik og at de følges opp
  • Ønsker en forenklet lovgivning

Kvalitetssikreren - tenke kritisk: Hva hindrer drømmene våre i å komme til virkelighet

  • At informasjonssikkerhet er usynlig inntil noe går galt
  • Mange ser ikke hvor viktig det er 
  • Det krever organisasjonsforståelse for å få det til å virke i en aktuell organisasjon
  • Informasjonssikkerhet er ikke kjernevirksomhet, temaet taper i oppmerksomhetskampen
  • Mange småkonger som alle bestemmer over egne systemer
  • Informasjonssikkerhet er tema i et tildelingsbrev, men følges ikke opp året etterpå
  • Det er begrenset med ressurser, området må prioriteres
  • Vanskelig å prioritere noe man ikke forstår
  • Det krever kunnskap om å synligjøre viktigheten av informasjonssikkerhet.
  • Det er behov for en god kommunikasjon om temaet
  • Mangel på tydelige krav fra Departementene
  • Mangel på kompetanse på fagfeltet
  • Mangel på forståelse for sikkerhet i den enkeltes jobb. Hva er vitsen med dette, jeg bare jobber her.
  • Mange har ikke interesse for sikkerhet, og får derved heller ingen kunnskap
  • Sikkerhet er viktig, men det er alltid så mange saker og det skjer jo ingenting

Iverksetteren - tenke realistisk: Hvordan kan vi overkomme disse hindringene

  • Vi må øke bevisstheten
  • Vi må gi riktig informasjon i riktig innpakning, være bevisst på formen vi framfører budskapet i, feks å snakke til ledelsen på et språk de forstår
  • Kommunisere at informasjonssikkerhet er en muligggjører for digitalisering
  • Bringe informasjonssikkerhet opp på et strategisk nivå, og koble det virksomhetens strategiske mål
  • Drive opplæring forankret i ledelsen. Først må man lære opp ledelsen. Alle må være med inkludert adm. dir
  • Synliggjøre konsekvenser ved manglende informasjonssikkerhet
  • Vi må sette av nødvendige ressurser
  • Etablere et styringssystem som er akseptert og forvaltet på en tilfredsstillende måte
  • Være klar over at det er langsiktige prosesser å jobbe med
  • Krav fra myndigheter er en pådriver
  • Det må gi daglig nytte i form av kostnadsbesparende tiltak
  • Utnytte kravene fra tildelingsbrevet for alt det er verdt
  • Bruke en informasjonssikkerhetshendelse som beredskapsøvelse
  • Utnytte ulik kompetanse, vilje og motivasjon til personer fra ulike deler av org. Dette gir et miljø som til sammen blir en sterk pådriver-kraft

 

Deldette

Kontakt