Ledelsesforankring rettskrav, muligheter og utfordringer. Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.

Transkript

1 Ledelsesforankring rettskrav, muligheter og utfordringer Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.

2 Agenda Reglene om informasjonssikkerhet i personopplysningsloven med forskrift Fokus på reglene om ledelsesinvolvering Erfaringer fra et forskningsprosjekt Studier av primærkommuner Prosjektperiode

3 Personopplysningsloven med forskrift Formål: unngå krenkelser av grunnleggende personvernhensyn (bl.a. privatlivets fred og personlig integritet) Gjelder ved elektronisk behandling av personopplysninger Gjelder når personopplysninger inngår i manuelle personregistre Personopplysninger alle opplysninger og vurderinger som kan knyttes til en enkeltperson

4 Reglene om informasjonssikkerhet Personopplysningsloven 13 og forskriften kapittel 2: 1. Tilfredsstillende sikring av personopplysningenes konfidensialitet, integritet og tilgjengelighet 2. Systematiske og planlagte tiltak tilpasset lokale forhold

5 Kapittel to i forskriften Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges (forskriften 2-3) Betyr at den daglige ledelsen formelt sett er ansvarlig for at informasjonssikkerheten er tilfredsstillende Vid delegasjonsadgang

6 Ledelsens konkrete plikter Sikkerhetsmål og strategi Sikkerhetsorganisering Ledelsesgjennomganger Risikovurderinger (akseptkriterier) Sikkerhetsrevisjon Avvikshåndtering Endringskontroll Opplæring Sikringstiltak Kontroll med databehandlere, kommunikasjonspartnere, osv. Dokumentasjon

7 Datagrunnlaget Intervjuer og dokumenter store kommuner 2. Datatilsynet 3. Andre nasjonale aktører (FAD, KIS, DIFI, KINS, KS, NorSIS og leverandører)

8 Kommunene To mellomstore (ca innb.) og 17 store (mer enn innb.) Fra seks til 35 IT-ansatte Mellom 80 og 140 fag- og fellessystemer Fra ca til omkring maskiner Fordelt på ca. 45 til omkring 250 ulike lokasjoner

9 Datatilsynet Ca. 100 stedlige kontroller hos primærkommunene ( ) Pålegg om retting av regelavvik ved over 90 prosent av kontrollene I gjennomsnitt over fire pålegg per kontroll Omfanget av hvert pålegg er blitt mindre

10 Hovedmønsteret: Hva er blitt gjort? 1. Dokumentasjon (13 kommuner) 2. Implementering (fire kommuner) 3. Ingen av delene (to kommuner) Ser på papiret ut som om ledelsen har ivaretatt sine plikter

11 Hovedmangler Problematisk forhold mellom dokumenter og praksis Dokumentasjonen skjuler: 1. Svak ledelsesinvolvering og styring 2. Begrenset rutinebruk hos de ansatte

12 Gevinster ved ledelsesforankring Sikkerhetsleder får større synlighet i organisasjonen Lettere for sikkerhetsleder å komme i inngrep med mellomledere Sikkerhetsleder snakker med større autoritet overfor de øvrige ansatte Enklere å få penger til tekniske sikkerhetstiltak (og i noen grad til stillingsprosenter) Fører dette til tilfredsstillende informasjonssikkerhet?

13 Problembeskrivelse Påstand: Bedre ledelsesforankring vil føre til økt sikkerhetsbevissthet og styrket rutinebruk i organisasjonen Altså: Problem: svak ledelsesforankring Løsning: sterk ledelsesforankring Men hvordan gå fra problem til løsning?

14 Hovedsvar Kan vanligvis ikke forvente at styrket ledelsesforankring skyldes egenskaper ved ledelsen selv: Ofte lite opptatt av informasjonssikkerhet Oppfattes som en teknisk spesialisert oppgave Trenger et push fra omgivelsene for å involvere seg i styringen av arbeidet

15 Løsning 1 Ildsjelengasjement: Sikkerhetsleder er spesielt interessert i og opptatt av informasjonssikkerhet Sikkerhetsleder er villig til å legge mye krefter i å komme i inngrep med ledelsen

16 Løsning 2 Ildsjelenes personlige egenskaper: Sikkerhetsleder har god personkjemi med ledelsen Sikkerhetsleder er en god organisasjonspolitiker

17 Løsning 3 Organisatoriske forhold: Sikkerhetsleder arbeider med basis i et sikkerhetsutvalg hvor ledelsen er representert Sikkerhetsleder kan finne støtte i sitt arbeid fra et lokalt personvernombud

18 Løsning 4 Situasjonsbestemte forhold: Organisasjonen utsattes for et sjokk (medieoppmerksomhet omkring sikkerhetsbrudd) Organisasjonen utsettes for kontroll fra Datatilsynet

19 Løsning 5 Lederen er genuint opptatt av informasjonssikkerhet: Tar selvstendige grep Har egne ideer/ambisjoner Stiller krav til arbeidet

20 Problemer Ildsjelen brenner lyset i begge ender (gir opp, kynisme, skifter jobb) Ildsjelen mangler de personlige egenskapene (beskjeden, innadvendt, snakker dårlig med sjefen) Mangler sikkerhetsutvalg eller personvernombud (eller begge deler fungerer dårlig) Sjokk eller kontroller fra Datatilsynet har en kortvarig effekt For sterk ledelsesinvolvering er ikke alltid like populært hos sikkerhetslederne (og andre ansatte i IT-avdelingen)

21 Konklusjon Ledelsesforankring er viktig, men ikke alt Viktigere med kompetente ildsjeler på sikkerhetsledernivå (eller tilsvarende) Forankringen kommer sjelden fra ledelsen selv Forankringen skyldes vanligvis de kompetente ildsjelene (i kombinasjon med enkelte andre forhold) Forankringen er ofte sårbar