Ledelsesforankring rettskrav, muligheter og utfordringer Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.
Agenda Reglene om informasjonssikkerhet i personopplysningsloven med forskrift Fokus på reglene om ledelsesinvolvering Erfaringer fra et forskningsprosjekt Studier av primærkommuner Prosjektperiode 2007-2010
Personopplysningsloven med forskrift Formål: unngå krenkelser av grunnleggende personvernhensyn (bl.a. privatlivets fred og personlig integritet) Gjelder ved elektronisk behandling av personopplysninger Gjelder når personopplysninger inngår i manuelle personregistre Personopplysninger alle opplysninger og vurderinger som kan knyttes til en enkeltperson
Reglene om informasjonssikkerhet Personopplysningsloven 13 og forskriften kapittel 2: 1. Tilfredsstillende sikring av personopplysningenes konfidensialitet, integritet og tilgjengelighet 2. Systematiske og planlagte tiltak tilpasset lokale forhold
Kapittel to i forskriften Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges (forskriften 2-3) Betyr at den daglige ledelsen formelt sett er ansvarlig for at informasjonssikkerheten er tilfredsstillende Vid delegasjonsadgang
Ledelsens konkrete plikter Sikkerhetsmål og strategi Sikkerhetsorganisering Ledelsesgjennomganger Risikovurderinger (akseptkriterier) Sikkerhetsrevisjon Avvikshåndtering Endringskontroll Opplæring Sikringstiltak Kontroll med databehandlere, kommunikasjonspartnere, osv. Dokumentasjon
Datagrunnlaget Intervjuer og dokumenter 1. 19 store kommuner 2. Datatilsynet 3. Andre nasjonale aktører (FAD, KIS, DIFI, KINS, KS, NorSIS og leverandører)
Kommunene To mellomstore (ca. 17 500 innb.) og 17 store (mer enn 20 000 innb.) Fra seks til 35 IT-ansatte Mellom 80 og 140 fag- og fellessystemer Fra ca. 1 600 til omkring 7 600 maskiner Fordelt på ca. 45 til omkring 250 ulike lokasjoner
Datatilsynet Ca. 100 stedlige kontroller hos primærkommunene (2001-2010) Pålegg om retting av regelavvik ved over 90 prosent av kontrollene I gjennomsnitt over fire pålegg per kontroll Omfanget av hvert pålegg er blitt mindre
Hovedmønsteret: Hva er blitt gjort? 1. Dokumentasjon (13 kommuner) 2. Implementering (fire kommuner) 3. Ingen av delene (to kommuner) Ser på papiret ut som om ledelsen har ivaretatt sine plikter
Hovedmangler Problematisk forhold mellom dokumenter og praksis Dokumentasjonen skjuler: 1. Svak ledelsesinvolvering og styring 2. Begrenset rutinebruk hos de ansatte
Gevinster ved ledelsesforankring Sikkerhetsleder får større synlighet i organisasjonen Lettere for sikkerhetsleder å komme i inngrep med mellomledere Sikkerhetsleder snakker med større autoritet overfor de øvrige ansatte Enklere å få penger til tekniske sikkerhetstiltak (og i noen grad til stillingsprosenter) Fører dette til tilfredsstillende informasjonssikkerhet?
Problembeskrivelse Påstand: Bedre ledelsesforankring vil føre til økt sikkerhetsbevissthet og styrket rutinebruk i organisasjonen Altså: Problem: svak ledelsesforankring Løsning: sterk ledelsesforankring Men hvordan gå fra problem til løsning?
Hovedsvar Kan vanligvis ikke forvente at styrket ledelsesforankring skyldes egenskaper ved ledelsen selv: Ofte lite opptatt av informasjonssikkerhet Oppfattes som en teknisk spesialisert oppgave Trenger et push fra omgivelsene for å involvere seg i styringen av arbeidet
Løsning 1 Ildsjelengasjement: Sikkerhetsleder er spesielt interessert i og opptatt av informasjonssikkerhet Sikkerhetsleder er villig til å legge mye krefter i å komme i inngrep med ledelsen
Løsning 2 Ildsjelenes personlige egenskaper: Sikkerhetsleder har god personkjemi med ledelsen Sikkerhetsleder er en god organisasjonspolitiker
Løsning 3 Organisatoriske forhold: Sikkerhetsleder arbeider med basis i et sikkerhetsutvalg hvor ledelsen er representert Sikkerhetsleder kan finne støtte i sitt arbeid fra et lokalt personvernombud
Løsning 4 Situasjonsbestemte forhold: Organisasjonen utsattes for et sjokk (medieoppmerksomhet omkring sikkerhetsbrudd) Organisasjonen utsettes for kontroll fra Datatilsynet
Løsning 5 Lederen er genuint opptatt av informasjonssikkerhet: Tar selvstendige grep Har egne ideer/ambisjoner Stiller krav til arbeidet
Problemer Ildsjelen brenner lyset i begge ender (gir opp, kynisme, skifter jobb) Ildsjelen mangler de personlige egenskapene (beskjeden, innadvendt, snakker dårlig med sjefen) Mangler sikkerhetsutvalg eller personvernombud (eller begge deler fungerer dårlig) Sjokk eller kontroller fra Datatilsynet har en kortvarig effekt For sterk ledelsesinvolvering er ikke alltid like populært hos sikkerhetslederne (og andre ansatte i IT-avdelingen)
Konklusjon Ledelsesforankring er viktig, men ikke alt Viktigere med kompetente ildsjeler på sikkerhetsledernivå (eller tilsvarende) Forankringen kommer sjelden fra ledelsen selv Forankringen skyldes vanligvis de kompetente ildsjelene (i kombinasjon med enkelte andre forhold) Forankringen er ofte sårbar