«Digitalisering og balansen mellom næringsutvikling og sikkerhet» Oppsummerende rapport fra Sikkerhetstoppmøtet 16. april 2015

Like dokumenter
«Hva er kritisk infrastruktur?» Oppsummerende rapport fra Sikkerhetstoppmøtet 6.november 2014

«Informasjonstyveri og industrispionasje hvordan oppdager vi det og hva gjør vi?»

«Risikoforståelse» Oppsummerende rapport fra Sikkerhetstoppmøtet

«Er det utfordringer med ny personvernforordning?» Oppsummerende rapport fra Sikkerhetstoppmøtet 12. november 2015

«Informasjonssikkerhetskultur» Oppsummerende rapport fra Sikkerhetstoppmøtet

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

NOU 2015: 13. Digital sårbarhet sikkert samfunn

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Sikkerhet på akkord med personvernet? NOU 2015: 13

Digitaliseringsstrategi

Internkontroll i praksis (styringssystem/isms)

Spørreundersøkelse om informasjonssikkerhet

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Prosjektmandat. IT i nye Moss kommune. Delprosjektleder: Skal rekrutteres. Planlagt startdato: Planlagt sluttdato:

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Digitaliseringsstrategi Birkenes kommune Vedtatt av RLG Digitaliseringsstrategi for Birkenes kommune 1

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Kartlegging av digital sikkerhetskultur Våre erfaringer

Digitaliseringsstrategi

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Om kartlegging av digital sikkerhetskultur

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

IT I PRAKSIS 2019 STRATEGI, LEDELSE, TRENDER OG ERFARINGER I NORSKE VIRKSOMHETER

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Informasjonssikkerhet og digitalisering

Retningslinje for risikostyring for informasjonssikkerhet

Digitaliseringsstrategi

Anbefalinger om åpenhet rundt IKT-hendelser

NASJONAL SIKKERHETSMYNDIGHET

Digitale sårbarheter - internasjonale utfordringer. Olav Lysne

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Innovasjon i offentlige anskaffelser - hvorfor og hvordan?

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Digitaliseringsstrategi

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Strategi for Informasjonssikkerhet

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Outsourcing av forretningsprosesser muligheter og fallgruver

Kvalitetsikring i BHT, Erfaringer fra et internasjonalt oppkjøp og veien videre. Jarand Hindenes, Medical Director Haugaland HMS

Ny styringsmodell for informasjonssikkerhet og personvern

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.

D IGITA L ISER I N GSSTRATEGI F OR FORSK N I N GSRÅDET

Tjenesteutsetting Dine data i andres hender. Ernst Unsgaard Seniorrådgiver, Strategisk Cybersikkerhet ikins,stavanger

Skoleeier - Strategisk ledelse og IKT. Ellen Karin Toft-Larsen Spesialrådgiver FID

IKT-sikkerhetsutvalget. NOU 2018: 14 IKT-sikkerhet i alle ledd

Hva sammenlikner vi med? Historien Mulighetene Forventningene

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Følger sikkerhet med i digitaliseringen?

IKT-STRATEGI

Hvordan synliggjøre verdien av IT og informasjonssikkerhet hos bedrifter rammet av finanskrisen (ISACA) Juni 2009 Nils Terje Haavi

Digitale sårbarhet og risiko i det norske samfunnet. Olav Lysne

Ny personvernforordning Er vi alle forberedt?

Kan du holde på en hemmelighet?

Nasjonalt velferdsteknologiprogram

Digital strategi for HALD Februar 2019

7 tegn på at dere bør bytte forretningssystem

Digitaliseringsstrategi. - trygghet og tillit til teknologi

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Raskere digitalisering med god sikkerhet. Evry

7 tegn på at dere bør bytte forretningssystem

Digitaliseringsstrate

SIKRING i et helhetsperspektiv

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

IKT- sikkerhet. Prosjektportefølje 2019

Informasjonssikkerhet i kraftsektoren

Kommunikasjon med ledelsen hva kan Difi bidra med?

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Revisjon av IT-sikkerhetshåndboka

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Slik kan du styrke sikkerhetskulturen med kommunikasjon

Tiltaksplan digitalisering 2019

Risikovurdering av Public 360

Geir Magnus Walderhaug NA Region øst Frokostmøte 6. mars 2018

Næringspolitikk og - strategi for Ringeriksregionen. Bakgrunnsnotat - Dialogmøter

Studieplan 2018/2019

STRATEGISKE MÅLSETTINGER

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Satsingsområdene synliggjør samtidig verdier og holdninger som alle medarbeidere i direktoratet har ansvar for å stå for i sitt arbeid.

Overordnet IT beredskapsplan

DIGITALISERINGSSTRATEGI FOR DDV-SAMARBEIDET

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

VI BYGGER NORGE MED IT.

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Notat om risikostyring: Prosessen & foreløpige resultat. Fagdag Sikring 15/ Bjørnar Heide, Ptil. Relevant for sikring???

Notat for beslutning Delprosjekt D System Socio Nye Drammen kommune

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Årsmelding KInS. Foreningen kommunal informasjonssikkerhet. Stiftelse. Formål og virksomhet.

Effektiv ressursbruk i staten. Strategi Direktoratet for økonomistyring. dfo.no

Saksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.

HVORDAN FORANKRE ARBEIDET MED «ORDEN I EGET HUS» OG HVORDAN I PRAKSIS GJENNOMFØRE DET I KOMMUNENE?

Leverandørmøte Prosessbistand i utviklingen av en stortingsmelding om innovasjon i offentlig sektor

Transkript:

«Digitalisering og balansen mellom næringsutvikling og sikkerhet» Oppsummerende rapport fra Sikkerhetstoppmøtet 16. april 2015

Innholdsfortegnelse 3 Innledning Om dette møte Arrangører 4 Tidligere tema 5 Dagens situasjon Ansvaret lagt på sikkerhetsansvarlig Utdatert lovverk Internet Of Things (IoT) Informasjonssikkerhet under IKT 7 Utfordringer Informasjonssikkerhet som en begrensning Uenigheter om lovverk Skytjenester Digital sårbarhet Sikkerhet som et konkurransefortinn Samarbeid mellom offentlig og privat 9 Viktige råd og tiltak Ledelsen med i sikkerhetsarbeidet Kommunisere forståelig for forretningen Rapportering av sikkerhetshendelser Security by design Tillit fra kunder

Innledning Om dette møtet Det femtende sikkerhetstoppmøtet hadde 55 deltakere fra både offentlig og privat sektor. Møtet ble innledet med 3 foredrag; «Innovasjon vs. sikkerhet» av Rodin Lie, IT-direktør Innovasjon Norge, «Er det motstridende interesser mellom sikkerhet og kommers?» av Geir Arve Vika, IT-direktør Lyse-konsernet og «Digital samfunnssikkerhet» sikkerhetssjef i Bodø kommune, Hans Bernhard Dahl. Etter foredragene ble det holdt en paneldebatt som ble ledet av adm. dir. for NorSIS, Roger Johnsen med foredragsholderne, Torgeir Waterhouse (direktør internett og nye medier IKT- Norge) og Hilde Widerøe Wibe (direktør næringspolitikk Abelia). Deretter var det to runder med rundeborddiskusjoner. Arrangører Prosjektledere Roger Johnsen, Adm.dir, NorSIS Sofie Nystrøm, Direktør CCIS Samarbeidspartnere Kristine Beitland, Samfunns- og myndighetskontakt, Microsoft og Lysneutvalget Mark Segelmann, Senior Associate, PwC Stewart Kowalski, Professor, NisLab Lene Bogen Kaland, Seniorrådgiver, Lysneutvalget Tonje Flotve, Manager, PwC Stig Rakke, Teknisk rådgiver, Microsoft Arrangørstab Tone Hoddø Bakås, Seniorrådgiver, NorSIS Anne Skeidsvoll Granli, Koordinator, NorSIS Peggy Sandbekken Heie, Seniorrådgiver, NorSIS Synne Gran Østern, Høgskolen i Gjøvik Rapport skrevet av Tone Hoddø Bakås, NorSIS Synne Gran Østern, Høgskolen i Gjøvik Robin Stenvi, NorSIS WWW.SIKKERHETSTOPPMØTET.NO 3

Tidligere tema 26.10.2010 Hvordan hindre informasjonslekkasje fra virksomhetens styre? 09.02.2011 Utfordringer med outsourcing, offshoring og cloudbaserte løsninger 15.06.2011 Risikostyring i virksomheten 18.10.2011 Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden 25.01.2012 Hendelseshåndtering fra oppdagelse til anmeldelse 19.04.2012 Tillit til sikkerheten hos samarbeidspartnere og leverandører 18.10.2012 Monitorering av de ansatte løsningen på tillitskrisen til mobile ansatte? 24.01.2013 Ledelsesforankring og ISMS 17.04.2013 Sikkerhetskultur 30.10.2013 Applikasjonssikkerhet har vi kontroll? 28.01.2014 Informasjonssikkerhet i verdikjeden klarer vi å tenke på alt? 09.04.2014 Beredskap 06.11 2014 Kritisk infrastruktur 27.01.2015 Informasjonstyveri og industrispionasje 4 WWW.SIKKERHETSTOPPMØTET.NO

Dagens situasjon Ansvaret lagt på sikkerhetsansvarlig Flere av sikkerhetstoppmøtets deltakere opplever at ledelsen i dag stoler mye på sine sikkerhetsledere. Denne tilliten fra ledelsen er bra å ha, men det har også ført til at ledelsen ikke involverer seg i informasjonssikkerhetsarbeidet i virksomheten i den grad de bør gjøre. Så lenge sikkerhetsleder gjør en god jobb er ledelsen fornøyd. Problematikken med en slik tillit er dog at når det skjer en alvorlig hendelse, så er ledelsen ofte helt uforberedt, og sikkerhetsansvarlig står igjen alene i håndteringen av hendelsen. «Ledelsen står bak deg inntil det smeller da oppdager man at de står veldig langt bak» Utdatert lovverk Dagens lovverk tar ikke høyde for den digitale hverdagen vi har i dag. Dette oppleves av sikkerhetstoppmøtets deltakere som en av de største hindringene og begrensningene innenfor utvikling og digitalisering. Det er behov for lovverk som gjenspeiler og hjemler nye utviklinger og behov, både i dag og i fremtiden. Noen deltakere meldte at virksomheten tør ikke å innovere nye løsninger fordi de ikke har nok støtte i lovverket ved en informasjonssikkerhetshendelse. «Mye lovverk er tilpasset en fjern fortid» Internet Of Things (IoT) Vi er i en tid hvor mer og mer fysiske objekter blir automatisk koblet opp til internett uten noe spesiell konfigurering. Trenden kalles Internet of Things og har et utrolig potensiale. Hver av disse «tingene» blir utrustet med maskinvare som gjør det mulig å koble dem opp mot internett, unikt identifiserbare. Dette blir gjort blant annet for å samle data om tingene, for eksempel en bil som rapporterer kjøremønster til leverandøren. Denne utviklingen legger press på informasjonssikkerheten, og ofte er det informasjonssikkerhet og interoperabilitetsproblemer som hindrer utvikling og bruk av IoT, hvis det blir tatt hensyn til. Her i Norge er vi langt fremme i bruk av IoT, noe som bekymrer Sikkerhetstoppmøtet fordi vi samtidig ligger etter med sikringstiltak knyttet til dette. Informasjonssikkerhet under IKT I dag blir informasjonssikkerhet i virksomheter ofte organisert under IT-avdelingen og under IT-direktøren. Dette kan medføre store utfordringer med å forankre informasjonssikkerhet i ledelsen og utover IT-avdelingen. Informasjonssikkerhet er ikke noe som kun er rettet mot IT, men hele virksomheten. Informasjonssikkerhet i en virksomhet dreier seg om å sikre all informasjon tilhørende virksomheten og inngå i alle arbeidsprosesser i alle avdelinger. I tillegg ser Sikkerhetstoppmøtets deltakere utfordringer med at i flere mindre virksomheter har IT-sjefen også rollen som sikkerhetsansvarlig.krav til leverandører Flere av Sikkerhetstoppmøtets deltakere opplever at de har liten påvirkningskraft WWW.SIKKERHETSTOPPMØTET.NO 5

«Å frelse verden med å fjerne kjeltringer kan du glemme.» i forhold til store internasjonale leverandører. Sett i et internasjonalt perspektiv er alle norske virksomheter små, og det er vanskelig å få gehør hos de store leverandørene. I tillegg har virksomhetene, spesielt de mindre virksomhetene, liten evne til å stille krav til disse leverandørene, og de etterspør klare retningslinjer og bistand fra myndigheter. Videre i et kunde og leverandørforhold viser flere norske virksomheter for lite modenhet når det gjelder utvikling, forhandlinger og etablering av kontrakter mellom partene. Ofte oppleves kontrakter som litt «tvangstrøyer» for begge parter og for utvikling av kapasitet for hendelseshåndtering. 6 WWW.SIKKERHETSTOPPMØTET.NO

Utfordringer Informasjonssikkerhet som en begrensning Det var samstemt enighet om at informasjonssikkerhet ikke må bli en begrensing i innovasjon. Men det er utfordringer knyttet til at det ofte er informasjonssikkerhetsansvarlig som må si ifra om at det ikke er god nok informasjonssikkerhet. Da vil man oppleves som en «stopper». Det å finne balansegangen mellom «sikkert nok» og innovasjon er vanskelig, og for at informasjonssikkerhetsansatte skal være i stand til dette må de forstå forretningen. Dette er det få som gjør, og det er en utfordring å finne fagfolk som er i stand til dette. Videre er det så mye sikkerhetskrav som må følges at store ressurser i mange virksomheter blir brukt til å sikre nok, og ikke til nyutvikling og innovasjon. «Vi kan ikke snakke om utfordringer som kommer vi er der NÅ det blir mer av det samme, kanskje mer enn vi forestiller oss» Uenigheter om lovverk Sikkerhetstoppmøtets deltakere var uenige om hvordan lover og forskrifter bør utformes, og det var flere som opplevde slike uenigheter også internt hos sin egen virksomhet. Uenighetene går ofte på om regler og retningslinjer skal være svært detaljerte og omstendelige, eller om de skal legge opp til mer frihet? Her er det ingen fasitsvar, men det var stor enighet om at det er behov for klarere retningslinjer og veiledninger om hvordan lovverket skal benyttes og følges. Det oppleves at myndighetene setter begrensingene, men kommer ikke med løsninger til hva alternativet kan være. «I dag går pengene til drift, vedlikehold og patching, ikke til innovasjon.» Skytjenester En av de større digitale trendene er bruk av forskjellige skytjenester. Vi benytter flere og flere skytjenester, både privat og på jobb. For en virksomhet er det er mange fordeler som kommer med skytjenester, for eksempel drift og håndtering av sikkerhetshendelser kan bli mer profesjonalisert ettersom dette kan ivaretas av leverandøren. Dette kan være veldig verdifullt for SMB-er. Sikkerhetstoppmøte opplever også en del utfordringer i prosessen med å ta i bruk skytjenester, hvor lovverk og reguleringer ofte er det som hindrer virksomhetene å ta i bruk tjenestene. Der det for eksempel er krav om å ha en databehandleravtale, er ikke disse tilpasset skytjenestene når der gjelder utenlandske leverandører. Virksomhetene får derfor ikke utnyttet potensialene som ligger i skytjenestene på grunn av begrensninger med lovverk. «I Norge er det ikke en tradisjon for å hele tiden strekke strikken og tøye regelverket» Digital sårbarhet I dag er mye digitalisert i Norge, og det er mye fokus på det som gjenstår. Med økt digitalisering øker også tilgjengeligheten av informasjon. Brukere og ansatte krever at informasjonen nesten er tilgjengelig overalt og når som helst. Dette er noe som legger press på informasjonssikkerhet. «Vi kan ikke fortsette som nå» WWW.SIKKERHETSTOPPMØTET.NO 7

«Pengesekken som går til innovasjon blir mindre, siden vi ikke får utnyttet skytjenestene» «Effektivitet og digitalisering har skapt innovasjon og nye muligheter men også nye sårbarheter.» Det er en utfordring å prioritere informasjonssikkerhet i et marked som har et stort behov for nye løsninger og legger mye press på produksjonsmiljøene. Sikkerhetstoppmøtets deltakere opplever at de må gjennomføre skadebegrensende tiltak i ettertid etter at produktet er ute i marked. Dette skaper en større digital sårbarhet. Det legges opp til at flere kommuner i Norge blir slått sammen til større kommuner. En av hensiktene med dette er å kunne være i stand til å tilby innbyggerne bedre kommunale tjenester. Ved kommunesammenslåinger er IT- og digitalisering et tema som knapt tas opp og diskuteres. Dette til tross for at gode utviklede og integrerte IT-systemer vil gjøre kommunene i bedre stand til å dekke innbyggerens behov. Sikkerhetstoppmøtets deltakere påpekte her at dette er et mulighetsvindu, det er mulighet til å tenke nytt og bygge nye helhetlige løsninger med informasjonssikkerhet integrert fra bunnen. Sikkerhet som et konkurransefortinn Det er et stort potensiale å utnytte informasjonssikkerhet som et konkurransefortrinn, blant annet fordi god sikkerhet skaper tillit fra kunder. Men det er utfordrende å markedsføre for kunder at man er bedre enn konkurrentene på sikkerhet i praksis, mest fordi det er vanskelig å dokumentere at virksomheten faktisk er bedre enn andre på sikkerhet. Hvis det hadde vært tilfellet, så kunne virksomhetene direkte tjene på god informasjonssikkerhet. På den andre siden opplever sikkerhetstoppmøte at leverandører som er dårlige på informasjonssikkerhet ikke kommer inn på markedet og får kunder. Her sliter SMB mer enn større virksomheter fordi de ikke har like mye ressurser på sikkerhetsarbeidet, og ikke har eller har få dedikerte ansatte innenfor informasjonssikkerhet. Samarbeid mellom offentlig og privat «Sikkerhet er et konkurransefortrinn» Sikkerhetstoppmøtets deltakere ønsker mer samarbeid mellom offentlige og private aktører, men utforingen er å få det til å fungere godt og gjensidig. Det er positivt at næringslivet blir brakt inn i offentlige beslutninger, prosjekter og høringer. Det må legges til rette for at man kan kommunisere næringslivets behov og ønsker til offentlige virksomheter. Men det ble trukket frem flere eksempler hvor dette samarbeidet ikke hadde fungert bra, og hadde medført negative konsekvenser. Et eksempel er etableringen av flere CERT-er. Her er det viktig å ha åpenhet og samarbeid dem imellom, men også med andre aktuelle aktører. Og det er viktig å være klar over at til tross for at man har etablert ett CERT eller CSIRT, så er man ikke automatisk sikret mot sikkerhetshendelser fremover. 8 WWW.SIKKERHETSTOPPMØTET.NO

Viktige råd og tiltak Ledelsen med i sikkerhetsarbeidet Et viktig tiltak er å få ledelsen mer aktivt med i informasjonssikkerhetsarbeidet. Risikovurderinger må gjennomføres i samarbeid med ledelsen. Det er også ledelsen som til slutt må akseptere restrisikoen. Ledelsen må også ta den endelige beslutningen om verdivurderinger i virksomheten. Hvilken informasjon kan deles, og hva må holdes konfidensielt? Hvilke krav til tilgjengelighet og integritet beslutter ledelsen. Man må få ledelsen til å forstå og velge hva som må sikres. Deretter kan informasjonssikkerhetsansatte finne ut hvordan informasjon og de verdier som står på spill kan sikres. «Gå fra informasjonssikkerhet til sikring av informasjon» Målet med informasjonssikkerhetsarbeidet er å gjøre ledelsen i stand til å ta gode beslutninger. Kommunisere forståelig for forretningen Det er utfordrende å snakke samme språk og gjøre seg forstått av de som har ansvar for forretningsprosessene i virksomheten. Sikkerhetstoppmøtets deltakere anbefalte å kommunisere om arbeidsprosesser fremfor tekniske sikkerhetstiltak. Videre anbefales det å unngå å snakke om IT-sikkerhet, men heller informasjonssikkerhet og forretningskritikalitet. For å få et helhetlig perspektiv av informasjonssikkerhet i en virksomhet, ønsket flere av deltakerne at informasjonssikkerhet skal tas med inn i strategiprosesser. Det er behov for strategiske ressurser som forstår forretningsstrategi og sikkerhet. Informasjonssikkerhet kan ikke lenger behandles som et eget individuelt fagområde, det må spres over hele virksomhetens arbeidsprosesser. «Sikkerhetsfolk forstår ikke sikkerhet, men sikkerhetstiltak» Rapportering av sikkerhetshendelser Det er i dag, med få unntak, ikke noe lovpålagt krav å melde ifra om informasjonssikkerhetshendelser. Dette er noe som bør endres. Ved å ha et slikt krav vil man få bedre oversikt over flere virksomheter, kan sammenligne mellom virksomheter og sektorer og man kan si at man er best eller bedre på informasjonssikkerhet enn konkurrentene. I tillegg vil denne åpenheten, sammen med å informere om hvordan hendelsen ble håndtert, kunne hjelpe andre virksomheter når de selv kommer i samme situasjon. Det er flere tilfeller der informasjonssikkerhetshendelser som har blitt oppdaget av media, har fått alvorlige konsekvenser for virksomheten. Kunder og brukere aksepterer at hendelser skjer, men ikke at selskapene mangler forberedelser og evne til effektiv håndtering. I tillegg anser Sikkerhetstoppmøtet at rapportering av informasjonssikkerhet inn til styrene og ledelsen kan bidra med å styrke informasjonssikkerhet i en virksomhet. Ved å ha en årsmelding om informasjonssikkerhet vil man ha et godt grunnlag for å se utviklingen, behovene og effekten av informasjonssikkerhetsarbeidet. WWW.SIKKERHETSTOPPMØTET.NO 9

«Vi kan ha et svanemerke for sikkerhet» Security by design Et viktig prinsipp i programutvikling som kan overføres til informasjonssikkerhet i innovasjonsprosjekterer, er «Security By Design». Prinsippet går ut på å tenke og bygge sikkerhet inn i alle steg i utviklingsprosessen fremfor å «legge på» sikkerheten ved slutt. Ved å involvere informasjonssikkerhet i hele prosjektperioden med gode risikoanalyser og tiltak, vil informasjonssikkerhet bli en mer naturlig del av ny utvikling. Et eksempel på en av fordelene er at ved å også tenke på informasjonssikkerhet ved utviklingen av brukergrensesnitt, vil også brukervennligheten bli tilpasset dette og informasjonssikkerhet vil ikke oppleves som et hinder for brukerne. Tillit fra kunder Et klart konkurransefortrinn er å ha tillit fra kunder, og på denne måten kan man vinkle inn informasjonssikkerhet som et fortinn. Uten god informasjonssikkerhet vil man vanskelig oppnå tillit fra kunder. Og for å vinne tillit hos kundene er det viktig å forstå hva kundene synes er viktigst. Er det å ha tilgang til riktig informasjon uavhengig av lokasjon? Eller å sørge for at ingen uvedkommende får tak i informasjonen? Etter en slik kartlegging kan man tilpasse seg kundens behov. Et eksempel på en slik kartlegging av tiltak er at flere og flere kunder opplever å ha mer kontroll og sikkerhet hvis de selv får håndtere mest mulig av sin egen informasjon og verdier, istedenfor å la en ansatt i en «fremmed» virksomhet håndtere dem. Dette er noe bl.a. banker har rettet seg etter i sine selvbetjeningsløsninger for kundene. 10 WWW.SIKKERHETSTOPPMØTET.NO

Om Sikkerhetstoppmøtet Sikkerhetstoppmøtet bringer informasjonssikerhets- ledere, eksperter og nøkkelpersoner innen fagfeltet sammen for å utveksle erfaringer og kunnskap. Deltakerne vil gjennom foredrag og samtaler skaffe seg et klarere bilde av dagens praksis og en innsikt i utviklingen i feltet. Formatet på samtalene er en åpen og kollegial tankesmie hvor synspunkter og argumentasjoner relatert til dags- aktuelle tema utveksles. Nytteverdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke sin interne sikkerhet. Sikkerhetstoppmøtet støttes av

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding