En gavepakke til beredskapslederen som vil øke IKT-sikkerheten

IKT-sikkerhet er et krevende felt å håndtere for de av oss som ikke har omfattende kompetanse på området. Nasjonal Sikkerhetsmyndighets (NSM) nye publikasjon gjør at vi ikke behøver å stå med lua i hånda neste gang vi skal diskutere disse spørsmålene med IT-avdelingen.Innføringen av ny sikkerhetslov regnes som ett av mange viktige tiltak for å møte den digitale trusselen, som øker både i kompleksitet og grad. Vi gir vår tilslutning til dette, fordi den nye sikkerhetsloven ansvarliggjør flere virksomheter på mange plan i samfunnet, og den er rettet mot å beskytte viktige verdier.

Men for den enkelte leder med ansvar for virksomhetens beredskap, mener vi at NSM kommer med en like viktig gavepakke: NSMs grunnprinsipper for IKT-sikkerhet.

Vi har allverdens informasjon og kompetanse om hva som kreves for å sikre IKT-systemene og infrastrukturen i virksomheten. Likevel er ofte sikringen mangelfull. Årsakene ligger i spennet mellom uoversiktlige krav og standarder, rivende utvikling på digitale tjenester, mange leverandører og avhengigheter i infrastrukturen og utydelig bilde av informasjonsverdiene.

NSM har utarbeidet et nasjonalt rammeverk for sikring av IKT-systemer, og første leveranse er «NSMs grunnprinsipper for IKT-sikkerhet». Dette er både sikringstiltak og et rammeverk for å stille krav, og etter min mening en gavepakke til beredskapslederen som ikke har IKT-kompetanse.

Grunnprinsippene beskriver hva som bør gjøres for å sikre IKT-systemene, og hvorfor, og er derfor egnet til å være en del av virksomhetsstyringen. Det betyr at selv om du mangler fagkunnskap, kan utfordre IKT-miljøet på alle de sentrale spørsmålene.

Grunnprinsippene er inndelt i fire kategorier, og hvert grunnprinsipp har tilknyttede sikringstiltak som beskriver hva som bør gjøres:

 1. Identifisere og kartlegge. Handler om å forstå hvilke leveranser og tjenester man har, hvilke ressurser som må sikres, og hvilke roller og brukere dere har.
 2. Beskytte. Handler om å forstå hva som kreves for å stå i mot eller begrense skaden fra dataangrep, og hva som må til for å få på plass en sikker IKT-tilstand.
 3. Opprettholde og oppdage. Handler om hvordan den sikre tilstanden kan opprettholdes over tid, og hvordan sikkerhetstruende hendelser oppdages.
 4. Håndtere og gjenopprette. Handler om hvordan sikkerhetstruende hendelser håndteres, og hvordan normaltilstanden gjenopprettes.

Med andre ord er ikke disse kategoriene vesentlig annerledes enn prinsipper som ligger til grunn for tradisjonelt beredskapsarbeid: Risiko og farer må identifiseres og kartlegges, tiltak for å beskytte virksomheten fra uønskede hendelser må identifiseres og iverksettes, hendelser må detekteres, og de må håndteres.

Til hver av de fire kategoriene i IKT-prinsippene, er det en rekke anbefalte tiltak. For deg som beredskapsleder er hvert av tiltakene et diskusjonspunkt du kan bruke overfor eget IKT-miljø:

 • "Har vi implementert dette tiltaket?"
 • "I hvilket omfang har vi implementert tiltaket?"
 • "Hvordan er tiltaket implementert?"
 • "Hvordan har vi dokumentert implementeringen?"
 • "Hvilken effekt gir vår implementering?"
 • "Hva skal til for å oppnå ytterligere/forbedret effekt?"
 • "Hvorfor har vi ikke implementert tiltaket?"

Dette er ikke gjort i en håndvending, så du må legge en plan og dele opp kaka i passende store stykker som tas litt etter litt. Planlegg også hvordan du skal beskrive effekten og dokumentere status for hvert tiltak, og angi hvor den interne dokumentasjonen finnes. Og dersom du virkelig skal demonstrere at du har oversikt: Legg inn dette i CIM Risk, da har du et komplett bilde på IKT-risikoen i virksomheten.

F24 - gratis ebok - Slik kommer du i gang med risikovurdering

 

Av Eivind Moen

Eivind er prosjektsjef i Elpro Electro AS. Eivind var tidligere avdelingsleder for enheten som ivaretar prosjektbistand og kundeleveranser, og medlem av ledergruppen i F24 Nordics. Han har sin utdanning fra Luftkrigsskolen, NTNU og Handelshøyskolen BI. Han har jobbet både med krisehåndtering og beredskap, og med prosjekt- og kvalitetsledelse. Eivind har skrevet mye av opplæringsmateriellet i F24 Nordics.

Flere artikler fra denne forfatter

Abonner på bloggen