Sikkerhetsledelse et løpende og langsiktig arbeid - Som ikke alltid gir raske resultater
Innhold Fem overordnede prinsipper for sikkerhetsledelse Six impossible things before breakfast Og en oppsummerende pekefinger tilslutt
Hva er sikkerhetsledelse? Koordinerte aktiviteter for å rettlede og styre organisasjonen med hensyn på informasjonssikkerhet Oppnås gjennom å innføre et helhetlig informasjonssikkerhetssystem (ISMS) Standarder: ISO 27001 alias BS 7799 (definerer ISMS og gir prinsipper for arbeidet med sikkerhetsledelse) ISO 27002 (inneholder code of practice, dvs. retningslinjer for å utvikle egne sikkerhetstiltak) La oss se på noen av prinsippene fra ISO 27001
Prinsipper for sikkerhetsledelse (1) Sikkerhetsledelse er et viktig element i ledelsen av bedriften Den øverste ledelsens engasjement er av vesentlig betydning for å utvikle og holde ved like et ISMS som virker og er effektivt Informasjon er en av bedriftens mest verdifulle ressurser ISMS er en del av bedriftens kvalitetssystem
Ledelsens engasjement?
Prinsipper for sikkerhetsledelse (2) Et ønsket resultat oppnås mer effektivt når tilhørende aktiviteter og ressurser styres som en prosess Å forstå krav Helhet Merverdi Kontinuerlig forbedring
Prinsipper for sikkerhetsledelse (3) Informasjonssikkerhet er mye mer enn tekniske tiltak Mål og overordnet sikkerhetsstrategi Ansvar og organisering Sikkerhetspolicy for alle viktige områder Prosedyrer, sjekklister og retningslinjer Avtaler og opplæring Fysiske tiltak
Prinsipper for sikkerhetsledelse (4) Folks holdninger er avgjørende for å lykkes, Ingen får de riktige holdningene ved å ha en sikkerhetshåndbok i hylla: Informasjon Opplæring Medvirkning
Prinsipper for sikkerhetsledelse (5) Sikkerhetssystemet må kontinuerlig forbedres basert på systematisk overvåking, målinger og evalueringer
Six impossible things before breakfast? Alice: one can not simply believe in impossible things! The white queen: I dare say, you have not had much practice when I was your age, I always did it for half-an hour a day. Why, sometimes I ve believed as many as six impossible things before breakfast! (Carroll Lewis; Alice i Eventyrland Through the looking glass )
Seven impossible things before breakfast IT-sjefen fikser sikkerheten Brannslukning er effektivt sikkerhetsarbeid Sikkerhet kan kjøpes ferdig fra et konsulentfirma Når sikkerhetshåndboka er på plass er sikkerheten garantert Jo mer jo bedre Vi trenger ikke måle Vi tar et skikkelig sikkerhetskrafttak, så kan vi slappe av noen år
1. IT-sjefen fikser sikkerheten Med mye ansvar, uten myndighet og med lite ressurser?
Umulig fordi: Alt sikkerhetsarbeid MÅ være forankret hos ledelsen IT-sjef Direktør
2. Brannslukning er effektivt sikkerhetsarbeid!
Umulig fordi: Systematisk sikkerhetsarbeid krever en plan Kan du fortelle meg hvilken vei jeg skal velge, sier Alice. Det kommer an på hvor du vil, sier katten. Det spiller ingen rolle, sier Alice. Så kan alle veier brukes, sier katten. (Carroll Lewis; Alice i Eventyrland) - og bedre blir det ikke hvis man heller ikke vet hvor man er -
Enhver plan MÅ ta utgangspunkt i en risikoanalyse Gjennom den får vi: Oversikt over de verste truslene En vurdering av sannsynlighet og konsekvens hvis de inntreffer En analyse av vårt akseptansenivå En prioritering av tiltak for det som er viktigst (dessuten krever personopplysningsloven og ISO 27001 at det gjøres)
3. Sikkerhet kan kjøpes ferdig fra Securefix A/S
Umulig fordi: Sikkerhet må forankres hos oss! I holdninger I reelle trusler I våre prioriteringer I det daglige arbeidet
4. Når sikkerhetshåndboka er på plass, er sikkerheten garantert!
Umulig fordi: Sikkerhet er 90% holdninger Enhver bedrift har tre typer sikkerhetssystemer Det vi faktisk gjør Uformelt ISMS Formalisert ISMS Dokumentert ISMS Sikkerhet krever samsvar Det vi sier vi skal gjøre
5. Jo mer, jo bedre Vi går i prosedyrefella Vi lager strenge restriksjoner og tett oppfølging av de ansatte Vi velger teknisk avanserte løsninger for alle problemer
Umulig fordi: Enkle situasjoner skal ha enkle løsninger Systemer som er kompliserte, påtrengende og vanskelige å følge motarbeider seg selv Ressurser skal brukes der de gir merverdi
6. Vi trenger ikke å måle Vi stoler på magefølelsen
Umulig fordi: Tro, håp, antagelser og magefølelse er meget usikre beslutningsgrunnlag For å arbeide systematisk med sikkerhet trenger vi fakta In God we trust, all others bring data
7. Vi tar vi et sikkerhetsmessig krafttak, så kan vi slappe av i noen år
Umulig fordi: Evolusjon er bedre enn revolusjon Det er naivt å tro at vi treffer blink første gangen Omgivelsene endrer seg Vi endrer oss Tilfredsstillende sikkerhet oppnås kun gjennom et systematisk, langsiktig arbeid
Og den avsluttende pekefingeren: Alt sikkerhetsarbeid MÅ forankres hos ledelsen Alt sikkerhetsarbeid MÅ forankres hos de ansatte Vi MÅ ha en helhetlig plan for det vi gjør Alle tiltak MÅ være prioritert med utgangspunkt i en risikoanalyse Ethvert ISMS SKAL tilpasses den konkrete situasjonen i i vår konkrete bedrift Enkle situasjoner SKAL ha enkle løsninger, Arbeidet MÅ baseres på fakta MÅL! Arbeidet går aldri over, tenk KONTINUERLIG FORBEDRING! Sikkerhet må gjøre litt vondt, men velg dine kamper med omhu!
Prosjektplan for å etablere og vedlikeholde et ISMS Forankring Mål for sikkerhetsarbeidet Overordnet sikkerhetspolitikk Opplæring, motivasjon, informasjon Sikkerhetskultur, etikk Organisering Gjennomfør kulturprogram Revisjoner Måling Oppfølging og evaluering Oppstart Planlegg Evaluer Gap-analyse Risikoanalyse Velg tiltak for å håndtere risiko Kontinuerlig forbedring Gjennomfør teknisk program Detaljert sikkerhetspolitikk Prosedyrer og retningslinjer Tekniske tiltak Sertifisering av produkter og systemer
Takk for oppmerksomheten! Og en stor takk til Ørnulf og fotograf Einar