Sikkerhetspolitikk – Hvordan kommer du i gang? |
/Printer_Icon.gif){kind=icon} |
En sikkerhetspolitikk skal ikke bare omhandle teknologien som kreves for å beskytte virksomheten, men også definere forventninger til handling, samt hvilket ansvar den enkelte medarbeider har. Mange ganger kan brudd på virksomhet sin informasjonssikkerhet skyldes at en medarbeider eller underleverandør utilsiktet gir adgang til fortrolig informasjon. Et slikt sikkerhetsbrudd kan ha veldig alvorlige konsekvenser for virksomheten.
Følgende er et kort overblikk over det som kreves for å utvikle en sikkerhetspolitikk.
Risikoanalyse - Beslutt hva som skal forebygges
Å etablere et godt forsvar krever at man bestemmer hva det er man ønsker å beskytte virksomheten mot. For ofte etableres det en sikkerhetspolitikk uten nøyaktig kunnskap om hva den skal beskytte mot. Derfor anbefaler SoftScan at sikkerhetspolitikken alltid baseres på en risikoanalyse. Det vil sikre at sikkerhetspolitikken tar for seg de mest kritiske områdene av virksomheten.
En risikoanalyse må inneholde alle de potensielle truslene virksomheten har. Siden en risikoanalyse ikke akkurat er en ubetydelig oppgave, anbefaler SoftScan å opprette en arbeidsgruppe til formålet.
Etabler en arbeidsgruppe
|
Tekniske og ikke-tekniske |
Arbeidsgruppen bør bestå av både tekniske og ikke-tekniske medarbeidere. De ikke-tekniske deltakerne må ha god innsikt i virksomhetens interne prosesser. |
|
Eksterne konsulenter |
Eksterne konsulenter har vært gjennom en slik prosess mange ganger og vet derfor ofte hvor det kan skjule seg problemer |
|
Ledelsen |
Den endelige prioritering av risiko besluttes av ledelsen, med de konsekvenser det har for virksomheten som utgangspunkt (for eksempel tap av fortjeneste hvis fortrolig informasjon kommer ut). |
Fastslå risiko
|
Sannsynlighet |
Estimer sannsynligheten for at en trussel skal oppstå. |
|
Innvirkning på virksomheten |
Estimer innvirkningen det vil ha på virksomheten hvis trusselen oppstår. |
|
Beslutning/prioritering |
La ledelsen bestemme. Den endelige prioritering av risiko besluttes av ledelsen, med de konsekvenser det har for virksomheten som utgangspunkt (for eksempel tap av fortjeneste hvis fortrolig informasjon kommer ut). |
Sikkerhetspolitikk
Basert på risikoanalysen definerer og utvelger arbeidsgruppen de områdene sikkerhetspolitikken skal dekke. Hvert enkelt av områdene skal ha en bestemt taktikk, retningslinje eller prosedyre.
Sikkerhetsorganisasjonen SANS har utarbeidet flere maler for uvikling av sikkerhetspolitikk. Malene følger amerikanske standarder og kan derfor virke litt omfattende. SoftScan anbefaler å bruke malene som inspirasjon, men å tilpasse formen så den passer til deres egen organisasjon.
Eksempler på sikkerhetspolitikk: e-postpolitikk, prosedyrer for antivirus, tredjepartsavtaler, politikk for fortrolig informasjon, retningslinjer for mistenkelige data og brukerkontrakt.
|
Godkjenning |
Husk å forankre, samt få aksept for, all sikkerhetspolitikk hos ledelsen. Også konsekvenser ved brudd på disse. |
|
Konsekvenser |
Involver alle avdelingene. F.eks. er HR-/personalavdelingen kanskje best kledd på til å avgjøre hvilke konsekvenser det medfører å ikke overholde sikkerhetsreglene. |
Trening og bevissthet - Hvordan arbeider man sikkert?
For å sikre en opplevelse av suksess når det gjelder bruk av IT-sikkerhetspolitikk, er det viktig å gi alle medarbeidere en ordentlig introduksjon til de nye reglene. Husk at regler har effekt på hvordan de ansatte jobber. Det er derfor viktig med trening og utdanning for nye og gamle medarbeidere, og å sikre at bevisstheten om politikken vedlikeholdes.
|
Forklaring |
Forklar de ansatte hvorfor de må endre sine arbeidsprosesser i forhold til sikkerhetspolitikken. |
|
Introduksjon |
Alle nye medarbeidere introduseres for sikkerheispolitikken gjennom virksomhetens introduksjonsprogram. |
|
Vedlikehold |
Medarbeiderne bør kontinuerlig gjøres oppmerksom på sikkerhetspolitikken. Det kan man blant annet gjøre i samarbeid med markedsavdelingen - det er jo de som er kommunikasjonsekspertene. Bruk kommunikasjonskanalene i virksomheten for å få formidlet innholdet i sikkerhetspolitikkene (bruk f.eks. interne nyhetsbrev, intranettet, plakater, klistermerker, skjermsparere eller sanger på julebordet). |
|
Testing |
Test om vedlikeholdelsen har effekt. Bruk online-undersøkelser, intervju, eller hva med en "Social Engineering" test av medarbeidernes viten? Testing er det beste verktøyet for å konstatere om medarbeiderne overholder all sikkerhetspolitikk. |
