Å jobbe systematisk med informasjonssikkerhet er viktigere enn noensinne, mangelfulle rutiner på dette området kan få katastrofale konsekvenser. Det finnes dessverre mange eksempler på hvordan brudd på informasjonssikkerheten har fått store økonomiske og organisatoriske følger.
ISMS som et eksempel på rammeverk for informasjonssikkerhet
ISMS er en forkortelse for Information Security Management System, det vil si helt enkelt styringssystem for informasjonssikkerhet på god norsk. Det betyr at ISMS enkelt forklart dreier seg om hvordan man skal håndtere informasjonen innad i en organisasjon på en sikker og trygg måte, slik at den ikke blir gjort tilgjengelig for uvedkommende.
Her finnes det åpenbart overlapp med for eksempel ISO 27001, som beskriver beste praksis for intern og ekstern håndtering av sikkerhet, men i tillegg også andre regelverk som GDPR og bestemmelser for personvern og sikker håndtering av personopplysninger. Samtidig er ISMS et mer vidtfavnende begrep, som også dekker data som ikke er personopplysninger.
Tre viktige aspekter ved trygg håndtering av informasjon
Det er mulig å dele inn tilnærmingen til informasjonssikkerhet i tre ulike hovedvinklinger. Arbeidet med dette stiller høye krav til kartlegging og innsikt i alle avdelinger prosesser og arbeidsflyt, og det er viktig å finne et nivå av informasjonssikkerhet som er fornuftig og på et hensiktsmessig nivå.
-
Konfidensialitet er viktig både når det gjelder forretningsinformasjon, personopplysninger og andre data som en virksomhet håndterer. Kritisk informasjon må holdes utilgjengelig for uvedkommende enheter, personer og prosesser.
-
Integritet handler i denne sammenheng om at opplysninger skal være nøyaktige og fullstendige, og at de ikke skal kunne slettes eller endres utilsiktet. Her er det igjen en god del overlapp med for eksempel GDPR, men her dekker vurderingen selvfølgelig også data som ikke er personopplysninger.
-
Tilgjengelig dreier seg om at data og opplysninger skal være tilgjengelig for autoriserte brukere. Et hensiktsmessig nivå av sikkerhet vil være et sted der data er tilgjengelig for de som trenger den, samtidig som den er tilstrekkelig beskyttet.
ISMS – kartlegging og strukturering som gjør rapporteringen enklere
Når man arbeider strukturert med et rammeverk som ISMS, får man rapportering «gratis» etter å ha gjennomført nødvendig kartlegging og strukturering av data fra organisasjonen. Det handler om å kartlegge data som håndteres av ulike avdelinger, noe som gjør det enklere å styre prosesser fra et og samme sted.
Motstandsdyktighet mot cyberangrep og løsepengevirus er et svært godt eksempel på hvorfor man bør jobbe systematisk med informasjonssikkerheten – dette aspektet kan være en vekker for mange virksomheter.
