Forankring hos ledelsen og ISMS
Download
Report
Transcript Forankring hos ledelsen og ISMS
«Forankring hos ledelsen og ISMS – viktigst og vanskeligst?»
Sikkerhetstoppmøtet 2013 #1
24. januar 2013
«Den viktigste nytteverdien består i å få et innblikk i andre fagfolks tanker og ideer
om aktuelle utfordringer, og konstruktive tilbakemeldinger på egne tanker og ideer.»
- Deltager fra sikkerhetstoppmøte 2012
Sikkerhetstoppmøtet diskuterte utfordringer med forankring hos ledelsen og implementering av ISMS. Sikkerhets
toppmøtets anbefalinger er at:
•
Man tydelig kommuniserer mål og status for arbeidet med informasjonssikkerhet til ledelsen.
•
En informasjonssikkerhetsstrategi forankret i ledelsen er lite verdt dersom den ikke også er forankret i organisasjonen forøvrig.
•
Å lage et romslig styringssystem som ikke er for snevert og konkret. Dette gir nødvendig handlingsrom i det videre arbeidet med
informasjonssikkerhetsledelse – et fag og en prosess med bevegelige mål.
FORMELL FORANKRING I VIRKSOMHETENES LEDELSE
Sikkerhetstoppmøtet mener det er viktig at informasjonssikkerhet er formelt forankret hos ledelsen. Vi observerer
en utvikling i retning av at ledergruppene har fått økt
forståelse for viktigheten av risikostyring og arbeid med
informasjonssikkerhet. I arbeidet med å etablere tilstrekkelig forankring er det viktig å være bevisst hva vi ønsker
å forankre. Ledelsen må innse at de må innta en aktiv rolle
med kommunikasjon, styring og kontroll nedover i organisasjonen. Mange bedrifter har en formell og skriftlig
forankring hos ledelsen, men det kan være lang vei frem
til reell oppmerksomhet og et effektivt styringssystem
for informasjonssikkerhet (ISMS, Information Security
Management System). Sikkerhetstoppmøtet tilrår at man
tydelig kommuniserer mål og status for arbeidet med
informasjonssikkerhet til ledelsen.
FORANKRING I ORGANISASJONEN
En informasjonssikkerhetsstrategi forankret i ledelsen er
lite verdt dersom den ikke også er forankret i organisasjonen forøvrig. På samme måte er det også her viktig å
avklare hva som skal forankres, i hvilke fora, avdelinger
og eventuelt i forhold til integrasjonen mot annen styringsstruktur. Hvilke tema skal presenteres og forankres
hos ledelsen? Hva passer i IT-avdelingen? Hvilke tema
hører hjemme hos HR? Et mulig tiltak for ansvarliggjøring
er å få informasjonssikkerhet inn i budsjettene til
forretningsområdene. Det er viktig å bevisstgjøre forretningsledere som har et faktisk ansvar for informasjonssikkerhet. Interne ambassadører vil kunne ivareta forankringen av sikkerhetsarbeidet. Dette vil kunne bygge opp mot
en bedret sikkerhetskultur som helhet for bedriften.
STYRINGSSYSTEM – ISMS
Selv om mange virksomheter etter hvert har en sikkerhetspolicy, så er arbeidet med å utvikle dette videre til et
fungerende ISMS mer umodent. Drivere som nevnes for
implementering er «due diligence» (forretning) og etterlevelse. Sikkerhetstoppmøtet sitter igjen med et inntrykk
av at ISMS fortsatt er en samling styringsdokumentasjon
med begrenset forankring i organisasjonen. Videre tilsier
erfaringene at ISMS er et nyttig hjelpemiddel på tross av at
det framstår som et tungrodd system. Et styringssystem
er altomfattende, og det er viktig å ha god kontroll med
forventninger så tidlig som mulig i prosessen. Anbefalingene er å lage et romslig styringssystem som ikke er for
snevert og konkret. Dette gir nødvendig handlingsrom i det
videre arbeidet med informasjonssikkerhetsledelse – et
fag og en prosess med bevegelige mål. Det er også viktig å
være bevisst at organisasjonsendringer tar tid, selv om vi
har inntrykk av at verden beveger seg raskt.
På sikt tror Sikkerhetstoppmøtet at ISMS vil integreres med virksomhetens øvrige systemer for styring og
kontroll. Da vil ikke informasjonssikkerhet framstå som
en snever og egen del av virksomheten. Sikkerhetstoppmøtet har flere ulike synspunkter og erfaringer på hvordan
utviklingen kan skje.
«Betraktninger fra vår samarbeidspartner»
INFORMASJONSSIKKERHET OG RISIKOSTYRING
PwC har mange års erfaring knyttet til implementering og
revisjon av ISMS. Informasjonssikkerhet er i våre øyne først
og fremst et forretningsanliggende der eier av verdiene
stiller krav til sikringen av disse. Videre har de samme
eierne ansvar for å følge opp et effektivt og fungerende
styringssystem for informasjonssikkerhet. Informasjonssikkerhet blir likevel tradisjonelt fokusert mot teknisk
IT-sikkerhet, noe ledelsen forventer blir ivaretatt av ITavdelingen. Tema og diskusjoner under Sikkerhetstoppmøte
24. januar 2013 bekrefter at stadig flere virksomheter er i
ferd med å modnes på området.
En svært vanlig utfordring med hensyn til forankring hos
ledelsen, er at sikkerhetseksperter tradisjonelt har for lav
forståelse av forretningsdrivere og virksomhetens strategiske behov og mål, og at de dermed ikke evner å kommunisere tilstrekkelig forretningsspråk. Dette skaper et
forretningsmessig kommunikasjonsgap som i mange tilfeller
fører til at ledelsen ikke forstår viktigheten, risikoen og
konsekvensene av sikkerhetsutfordringer. Resultatet er ofte
at sikkerhet og kontroll ikke i tilstrekkelig grad integreres
i forretningsprosesser og daglige oppgaver. PwC har mange
gode erfaringer fra prosjekter hvor fokus i første omgang
har vært å kvalitetssikre sikkerhetsekspertenes forståelse
for forretningens faktiske behov. Et viktig verktøy i disse
prosjektene har vært aktiv bruk av PwCs overordnede
tolkning av ISO/IEC 27001, fordelt på 7 hovedprinsipper, for
en enklere kommunikasjon av budskap og målsettinger.
PwC erfarer at mange sikkerhetsmiljøer ikke tenker bredt
nok på ISMS, og anser sitt arbeid som fullført når det
foreligger en struktur og gode beskrivelser av sikkerhetskravene. Ofte fører dette til store friheter for den enkelte til
å definere og tolke praktiske løsninger knyttet til styringskravene. En solid forankring i hele organisasjonen forutsetter at sikkerhetsledere evner å etablere et operasjonalisert ISMS med sikkerhetsløsninger og sikkerhetsarkitektur
som understøtter sikkerhetskravene. På denne måten kan
kravene komme tilpraktisk anvendelse i prosesser, metoder og løsninger. Videre erfarer PwC at sikkerhetsledere
Sikkerhetstoppmøtet støttes av må erkjenne, og ta i bruk,
ISMS som et strukturert arbeidsverktøy for å sikre knytningen mellom risikostyring, kontrollaktiviteter, hendelses
håndtering, forbedringsprosesser, budsjetteringsprosesser
og årlige handlingsplaner opp mot strategiske mål.
Roger Ølstad, PWC
([email protected])
OM SIKKERHETSTOPPMØTET
Sikkerhetstoppmøtet er en ekspertgruppe hvor deltakelse er basert på invitasjon. Møtet arrangeres som en
rundebordskonferanse med innledende foredrag. Sammenkomsten er en åpen og kollegial tankesmie hvor synspunkter
og argumentasjoner relatert til dagsaktuelle temaer utveksles i fortrolighet i henhold til Chathams husregler. Nytte
verdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke
sikkerhetsarbeidet internt. Deltakerne står fritt til å bruke den informasjonen som framkommer gjennom Sikker
hetstoppmøtet som grunnlag for beslutninger i egne virksomheter.
TIDLIGERE TEMA
18.10.2012 19.04.2012 25.01.2012
18.10.2011
15.06.2011 09.02.2011 26.10.2010 Monitorering av de ansatte – løsningen på tillitskrisen til mobile ansatte?
Tillit til sikkerheten hos samarbeidspartnere og leverandører
Hendelseshåndtering – fra oppdagelse til anmeldelse
Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden
Risikostyring i virksomheten
Utfordringer med outsourcing, offshoring og cloudbaserte løsninger
Hvordan hindre informasjonslekkasje fra virksomhetens styre?
ARRANGØRER
PROSJEKTLEDERE
Tone Hoddø Bakås (seniorrådgiver NorSIS)
Nils Kalstad Svendsen (leder NISlab)
SAMARBEIDSPARTNERE
Anders Føyen (Business Development Manager, Microsoft)
Ole Tom Seierstad (Chief Security Advisor, Microsoft)
ARRANGØRSTAB
Anne Skeidsvoll Granli (koordinator, NorSIS)
Peggy Sandbekken Heie (seniorrådgiver NorSIS)
Tore Larsen Orderløkken (adm. dir. NorSIS)
Roger Ølstad (Manager, PwC)
Roar Gulbrandsen (Senior Manager, PwC)
Bernhard Hämmerli (professor II NISlab)
Stewart Kowalski (professor NISlab)
www.norsis.no | www.sikkerhetstoppmøtet.no | www.hig.no
Sikkerhetstoppmøtet støttes av