Rolle: Risikoeier
Alle med mål- og resultatansvar på operativt nivå i virksomheten er ansvarlig for å håndtere den risikoen som er tilstede for de arbeidsoppgavene de er ansvarlige for. Dette innebærer også informasjonssikkerhetsrisiko.
Ansvar og oppgaver
Risikoeiere er ofte linjeledere eller operativt ansvarlige.
Risikoeiere har ansvar for å ha tilstrekkelig oversikt over sitt ansvarsområde, for å kunne prioritere risikovurderinger slik at arbeidet med risikovurdering og -håndtering gjøres på en effektiv måte. Vedkommende er også ansvarlig for at nødvendige risikovurderinger gjennomføres, at identifiserte risikoer håndteres, blant annet ved at tiltak iverksettes. Beslutninger knyttet til risiko som vedkommende ikke har tilstrekkelig fullmakt til å håndtere, enten fordi risikonivået er for høyt, eller fordi kostnaden av eventuelle tiltak er for høy, må løftes i linjen på samme måte som andre slike avklaringer.
Årlig skal risikoeiere vurdere om de har tilstrekkelig tillit til at informasjonssikkerhetsarbeidet er slik det bør være. De bør vurdere om:
- internkontrolloppgavene gjennomføres slik de skal
- sikkerhetstiltakene de har ansvaret for, fungerer slik de skal, det vil si om de har tilstrekkelig måling av at sikkerhetstiltak etableres, følges opp og etterleves
- de som jobber for dem, følger de lover og regler de skal følge
Dette kaller vi å vurdere status på sitt ansvarsområde.
Merk: Det er i liten grad hensiktsmessig å stille detaljerte krav til ønsket kompetanse for risikoeier i en stillingsannonse, men det er allikevel viktig å tenke på når man spesifiserer kompetansekravene. Nedenfor beskrives den kompetansen en risikoeier ideelt sett har, men det er viktig å huske at mye av denne kompetansen også kan oppnås ved opplæring etter ansettelse. Her er det like viktig at man i en intervjusituasjon sikrer at kandidaten har den rette forståelsen av risiko og sammenhengen mellom informasjonssikkerhet og måloppnåelse.
Ønsket kompetanse
Alle med mål- og resultatansvar på operativt nivå i virksomheten bør ha grunnleggende kunnskap om informasjonssikkerhet, og hvordan risiko på informasjonssikkerhetsområdet kan påvirke deres måloppnåelse.
Risikoeiere må ha tilstrekkelig kompetanse til å holde oversikt over sitt ansvarsområde – hvilke arbeidsoppgaver utføres, hvilke informasjonstyper behandles, hvilke systemer benyttes, hva er potensielle konsekvenser dersom noe inntreffer etc. Dette gjelder både på informasjonssikkerhetsområdet og andre områder.
Basert på en slik oversikt må risikoeier kunne prioritere hvor det er viktigst å gjennomføre grundige risikovurderinger, og vedkommende må kunne drive prosessen med å foreslå håndtering av risikoer, godkjenne forslag av disse (eller løfte dette i linjen), og iverksette de nødvendige tiltakene.
Risikoeiere må kjenne til den metoden som virksomheten har valgt for gjennomføring av risikovurderinger.
Dersom risikoeier ikke selv har spisskompetanse på fagområdet informasjonssikkerhet, må vedkommende imidlertid ha tilstrekkelig kompetanse til å få bistand på området. Fagansvarlig informasjonssikkerhet - eventuelt rådgiver informasjonssikkerhet – kan bistå i risikovurderinger og håndtering av risiko.
Tema for intervju/medarbeidersamtale
En risikoeier bør vise forståelse for:
- at arbeidet med informasjonssikkerhet understøtter virksomhetens måloppnåelse.
- viktigheten av å innarbeide informasjonssikkerhet i virksomhetens helhetlige risikostyring.
- at vedkommende har ansvar for at sine medarbeidere har tilstrekkelig forståelse for og kunnskap om informasjonssikkerhet til å gjøre sine arbeidsoppgaver på en god måte.
Merk: Det vil variere hvor viktig god forståelse av og evne til å lede arbeid med informasjonssikkerhet er, alt etter hva en person skal ha ansvaret for. Det er viktig å gjøre en vurdering av dette i forkant av en samtale. I tilfeller der det er viktig med fokus på å sikre informasjonen i arbeidsoppgavene vedkommende skal være ansvarlig for, kan man legge vekt på noen av aspektene nedenfor. Dette må tilpasses den gitte situasjonen.