Hvorfor styring av informasjonssikkerhet?
Formålet med informasjonssikkerhet og tilhørende styring og kontroll er å medvirke til at informasjonsbehandlingen i virksomheten på en best mulig måte realiserer virksomhetens samlede mål, er kostnadseffektiv og er i samsvar med lover og regler.
1. Innledning
Informasjonsbehandling og bruk av IKT står sentralt i alt arbeid i offentlig sektor. Det er enten selve kjernen i arbeidet eller kritisk støtte. Fungerer ikke informasjonsbehandlingen og IKT-systemene slik de bør, kan det få store konsekvenser for måloppnåelse, effektivitet og etterlevelse av lover og regler. Internkontroll på informasjonssikkerhetsområdet er en nøkkelfaktor for en velfungerende og målrettet informasjonsbehandling og IKT-bruk.
2. Informasjonssikkerhet
Informasjonssikkerhet handler om tilstrekkelig og balansert sikring av konfidensialitet, integritet og tilgjengelighet på informasjon i virksomhetens informasjonsbehandling. Dette er ingen statisk tilstand. Trusler og risikoer endres både raskt og over tid, og tiltak må systematisk tilpasses i takt med utviklingen.
2.1 Tilgjengelighet
Både ledelsen, ansatte og eksterne brukere trenger kontinuerlig og effektiv tilgang til relevant informasjon og relevante IKT-systemer og digitale tjenester. Uten slik tilgang øker sannsynligheten for feil beslutninger, ineffektivt arbeid, tapt arbeidstid, feil i økonomiske transaksjoner og brudd på innbyggernes rettigheter og rettssikkerhet. Det er slike konsekvenser sikring av tilgjengelighet skal redusere eller fjerne.
2.2 Integritet
Dersom informasjon er endret utilsiktet eller av uautoriserte, sier vi at den har mistet sin integritet. Informasjonsbehandlingen skjer da på feil grunnlag. I «beste tilfelle» kan hverken ansatte eller eksterne stole på informasjonen. Også ved integritetsbrudd øker sannsynligheten for feil beslutninger, ineffektivt arbeid, tapt arbeidstid, feil i økonomiske transaksjoner og brudd på innbyggernes rettigheter og rettssikkerhet. Det er slike konsekvenser sikring av integritet skal redusere eller fjerne.
2.3 Konfidensialitet
Konfidensialitet vil i offentlig sektor i hovedsak handle om lovpålagt taushetsplikt eller virksomhetsinterne tilleggsføringer om hva som skal unntas offentlighet. Brudd på konfidensialiteten kan gå ut over enkeltpersoner, private bedrifter og den jobben offentlige virksomheter selv skal gjøre. Konsekvensene kan være i spennvidden ubehagelig følelse, tap av anseelse og integritet, ødeleggende livssituasjon, økonomiske tap, vanskelig å få gjennomført forsvarlig saksbehandling, avsløring av bedriftshemmeligheter, fare for liv og helse. Det er slike konsekvenser sikring av konfidensialitet skal redusere eller fjerne.
3. Helhetlig, risikobasert og balansert
Samtidig som det er viktig å ivareta alle de tre interessene konfidensialitet, integritet og tilgjengelighet, kan både interessene selv og tiltak for å ivareta dem komme i konflikt med hverandre. Dette kan virke negativt inn på mulighetene for å nå virksomhetens samlede mål slik ledelsen prioriterer. I tillegg må kostnaden ved tiltak stå i forhold til nytten og størrelsen på risikoen. Hvilke tiltak man finner det nødvendig å bruke penger på, må være risikobasert.
Sikkerhetstiltak for å ivareta de tre interessene må derfor ses i sammenheng, forankres i helhetlige risikovurderinger og balanseres ut fra risikovurderingene og ledelsens føringer blant annet om kriterier for å akseptere risiko.
4. Internkontroll - styring og kontroll
Med dagens bruk av IKT er styring og kontroll med informasjonssikkerheten kritisk for de fleste aktiviteter i en virksomhet. Er informasjonssikkerhetstiltakene målrettede, formålseffektive og kostnadseffektive? Understøtter de informasjonsbehandlingen i samsvar med ledelsens prioriteringer? I hvilken grad lar ledelsen tilfeldighetene og usystematisk arbeid avgjøre om konsekvensene vi har nevnt over, inntreffer eller ikke? Hvor mye vet egentlig ledelsen og virksomheten for øvrig om skjulte hendelser og konsekvenser?
For å få tilstrekkelig styring og kontroll må ledelsen og virksomheten for øvrig arbeide systematisk og effektivt med informasjonssikkerhet etter anerkjente prinsipp for internkontroll og styringssystem for informasjonssikkerhet. Dette er to begrep for det samme.
Styring og kontroll på informasjonssikkerhetsområdet handler om systematiske styringsaktiviteter. Disse skal sørge for at relevante risikoer blir vurdert, at nødvendige og hensiktsmessige sikkerhetstiltak blir etablert, og at det systematisk blir kontrollert og fulgt opp at tiltakene og styringsaktivitetene faktisk fungerer som forutsatt.
5. Pålegg i lov og forskrift
Ut fra ovennevnte bør alle virksomheter ha en sterk egeninteresse i et systematisk arbeid med informasjonssikkerhet – det vi kaller internkontroll eller styring og kontroll. Offentlige virksomheter er i tillegg pålagt internkontroll på informasjonssikkerhetsområdet gjennom ulikt regelverk. Det understreker viktigheten av dette internkontrollarbeidet for dem som er ansvarlige for utføringen av offentlige oppgaver og bruken av offentlige midler.