Bakgrunnsinformasjon for kompetanse- og kulturutvikling innen digital sikkerhet
Bakgrunnsinformasjonen under gir et grunnlag for arbeid med digital sikkerhetskompetanse og -kultur, og knytter dette opp mot virksomhetens arbeid med internkontroll.
Kulturutvikling
Virksomhetene i offentlig forvaltning berøres i stor grad av digitaliseringen av samfunnet. Dette legger til rette for utvikling av nye tjenester og til at eksisterende tjenester kan leveres med høyere kvalitet og effektivitet. Samtidig betyr digitaliseringen at virksomhetene introduserer nye sårbarheter og blir utsatt for nye typer trusler.
For å lykkes med digitalisering er det en forutsetning at man arbeider med den menneskelige faktoren. Denne kan være komplisert å forholde seg til, spesielt i møte med et stadig skiftende digitalt landskap. Man må derfor arbeide med virksomhetens kultur, og som en del av denne, den digitale sikkerhetskulturen.
Kjernen i utviklingen av en digital sikkerhetskultur kan beskrives slik:
Hva – kjennskap til hva som forventes at den enkelte skal gjøre innen digital sikkerhet. Alle ansatte må ha tilstrekkelig kunnskap for å kunne utføre sine arbeidsoppgaver på en god måte. Dette inkluderer kunnskap om digital sikkerhet. En utfordring er å identifisere hva den enkelte faktisk bør eller må vite. Behovet for kunnskap vil variere utfra den ansattes arbeidsoppgaver og rolle i organisasjonen.
Hvorfor – forstå hvorfor rammene for digital sikkerhet er satt slik de er, og å bli klar over hvorfor man skal handle på en bestemt måte. Bevisstgjøring er viktig for å skape refleksjon hos de ansatte, slik at de forstår at de spiller en viktig rolle i utviklingen av virksomhetskulturen. Slik kan de ansatte få forståelse for føringer og retningslinjer fra ledelsen, hvilke deler av sikkerhetsarbeidet som fungerer etter hensikten, hvilke områder virksomheten bør se nærmere på, og hvor praksisen eventuelt må endres.
Hvordan – ha tilstrekkelige ferdigheter til å kunne handle riktig. Selv om en ansatt vet hva og hvorfor (kunnskap og bevisstgjøring) er det de praktiske handlingene, dvs. den enkeltes adferd, som er avgjørende for resultatene. Det er derfor i de fleste sammenhenger viktig å vurdere den enkeltes praktiske ferdigheter. Den enkelte virksomhet må vurdere hvilke ansatte som trenger trening på hvilke områder.
Holdninger – ta risiko og sikkerhetskrav på alvor, og handle i samsvar med dem. Sammen med «hva», «hvorfor» og «hvordan» utgjør holdningene kjernen i utviklingen av sikkerhetskultur.
Kompetanseutvikling
For å arbeide med digital sikkerhetskompetanse og digital sikkerhetskultur må vi ha kunnskap om basis for læring.
I figur 2 for utviklingssteg mot digital sikkerhetskompetanse er grunnlaget – «jeg har» – at virksomheten har utarbeidet retningslinjer, rutiner, prosedyrer og policyer som gir rammer for den digitale sikkerheten. Videre ligger det i dette første steget at nødvendige verktøy og mekanismer er på plass, slik at den enkelte settes i stand til å følge de rammene som er gitt.
Neste nivå – «jeg kan» – handler om at den enkelte har opparbeidet seg kunnskap som virksomheten har definert som nødvendig for virksomhetens digitale sikkerhet. I dette ligger det at den enkelte har forstått hvorfor virksomheten har gitt sine rammer for den digitale sikkerheten, og hva de selv skal gjøre for å bidra til sikkerheten.
Nivået «jeg gjør» legger til grunn at man gjennom sin adferd viser at man ikke bare har kunnskap om hva virksomheten trenger innen digital sikkerhet, men også bruker denne kunnskapen i praksis.
Øverste nivå – «jeg er» – illustrerer at holdninger, kunnskap og adferd innen digital sikkerhet er blitt en naturlig del av det man gjør. Vurderinger av sikkerhet og risiko er automatisk en del av de daglige gjøremålene. Det er blitt en del av den enkeltes identitet og gjennom det en del av virksomhetens felles digitale sikkerhetskultur.
Internkontroll for digital sikkerhet
Alle offentlige virksomheter skal ha internkontroll (styringssystem) for informasjonssikkerhet som inkluderer digital sikkerhet. Velfungerende internkontroll er nødvendig for at virksomheten kan nå sine mål på en kostnadseffektiv måte. Det er lederens ansvar å sørge for at dette er på plass.
Det er viktig at internkontroll for informasjonssikkerhet/digital sikkerhet sees i sammenheng med virksomhetens øvrige internkontrollaktiviteter, slik at ledelsen får et helhetlig bilde, og kan prioritere ressurser dit hvor det er størst behov.
Kompetanse- og kulturutvikling er en viktig brikke i internkontrollen. De ansatte må kjenne de aktivitetene i internkontrollen som er vesentlig for dem, og gis nødvendig opplæring. Hva som er vesentlig, vil variere ut fra hvilken rolle man har i virksomheten. Digitaliseringsdirektoratets kompetansebeskrivelser for roller i arbeidet med styring og kontroll av informasjonssikkerhet beskriver relevant kompetanse for ulike roller i sikkerhetsarbeidet.
Behov og målsetninger for arbeidet med digital sikkerhetskompetanse og -kultur i virksomheten må kartlegges og beskrives. En del behov vil komme fra virksomhetens egne krav og målsetninger innen digital sikkerhet. Andre behov vil komme som en konsekvens av eksterne krav til virksomheten fra lovverk, standarder eller overordnet departement. Virksomheten må selv vurdere hvilke behov som må oppfylles.
Ved å integrere arbeidet med digital sikkerhetskompetanse og -kultur i virksomhetens internkontrollsystem for informasjonssikkerhet, vil ledelsen kunne følge opp effekten av arbeidet. For mer informasjon om internkontroll på informasjonssikkerhetsområdet, se Digitaliseringsdirektoratet veiledningsmateriale «Internkontroll i praksis – informasjonssikkerhet».