Rolle: IT-leder
IT-leder eller lignende roller har mange oppgaver relatert til informasjonssikkerhet.
Ansvar og oppgaver
Vedkommende vil være ansvarlig for flere tekniske sikkerhetstiltak (tiltaksleverandør), og er ansvarlig for å sørge for IT-faglig kompetanse inn i vurdering og håndtering av risiko. I tillegg er det ofte IT-avdelingen som er ansvarlig for overvåking og hendelseshåndtering, og IT-leder vil derfor være ansvarlig for å styre denne aktiviteten.
IT-leder vil også være risikoeier for de arbeidsoppgavene som vedkommende er ansvarlig for.
Tiltaksleverandørene har som regel en viktig rolle i å bistå med vurdering av risiko (de vet hva som kan skje) og håndtering av risiko (de vet hvilke tiltak som er aktuelle og kostnadene forbundet med disse). Ansvaret for å styre risiko og ressursbruk, og ta beslutningene, ligger likevel hos risikoeierne.
Ønsket kompetanse
Avhengig av hva slags IT-miljø virksomheten har, må IT-leder ha god kunnskap om løsningene de benytter, og hvilke trusler og sårbarheter som kan påvirke virksomhetens risikobilde. Vedkommende bør også ha god kunnskap om hvilke tiltak som kan gjennomføres for å redusere risiko, og kunne gi en beskrivelse av et kost/nytte perspektiv.
IT-leder må også kjenne organisasjonen, og ha evnen til å formulere IKT-tekniske problemstillinger på en forståelig måte til ledelse og øvrige i organisasjonen, gjerne i samarbeid med fagansvarlig informasjonssikkerhet.
IT-leder må ha kompetanse til å forklare toppleder og øvrig ledergruppe hvordan ulike valg kan påvirke risikobildet. Eksempler kan være dersom man vurderer tjenesteutsetting, eller vurderer å ta i bruk skytjenester.
Tema for intervju/medarbeidersamtale
Følgende temaer er relevante for et intervju/en medarbeidersamtale:
- Forståelse for forholdet mellom tiltaksleverandør og virksomhetens risikoeiere. En tiltaksleverandør er ansvarlig for visse sikkerhetstiltak risikoeiere har behov for. Dette vil normalt inkludere utforming, iverksetting og vedlikehold av sikkerhetstiltakene.
- Forståelse for skillet mellom de systematiske aktivitetene for styring og kontroll (styringsaktiviteter), og spesifikke sikkerhetstiltak.
- Forståelse for hvordan IT-avdelingen kan bistå risikoeiere i vurdering av risiko, ved å beskrive potensielle scenarioer, og i håndtering av risikoer, ved å foreslå og etablere (etter beslutning fra risikoeier) sikkerhetstiltak.
- Forståelse for at det er nødvendig å ha gode kommunikasjonsevner. En IT-leder må kommunisere med mange ulike nivåer i virksomheten – alt fra ledelse, via fagansvarlig informasjonssikkerhet, til teknisk IKT-personell og øvrige ansatte.
«Styringsaktiviteter» er de sentrale aktivitetene som normalt inngår i styring og kontroll på informasjonssikkerhetsområdet. Jf. ISO/IEC 27001 (kapittel 4 til 10) og de systematiske aktivitetene som er beskrevet i Difi veileder «Internkontroll i praksis – informasjonssikkerhet».
«Sikkerhetstiltak» er de varige tiltakene som en virksomhet etablerer for å redusere risikoen for brudd på KIT i informasjonsbehandlingen knyttet til oppgavene de utfører. Dette er tiltak som ved en risikobasert tilnærming velges og etableres ved bruk av styringsaktivitetene «risikovurdering» og «risikohåndtering».