Bruker dere nok ressurser på opplæring og kompetanseutvikling innen IT-sikkerhet? Gjør dere ikke det, blir informasjonssikkerheten i virksomheten for dårlig. Sjansene øker da for å pådra seg store driftskostnader og høye bøter for brudd på EUs personvernforordning (GDPR). De første millionbøtene for GDPR-brudd er allerede varslet.
Mørketallsundersøkelsen for 2018 viser at norske virksomheter ikke har god nok oversikt over kostnadene knyttet til uønskede sikkerhetshendelser. Fortsatt er det for mange slike hendelser, og de oppdages ifølge undersøkelsen ved tilfeldigheter. Det er heldigvis mindre tilfeldigheter ute og går og dermed lavere kostnader i virksomheter som har et system med rutiner for informasjonssikkerhet. Likevel anslås kostnadene ved sikkerhetsbrudd å beløpe seg til titalls milliarder kroner årlig.
Kompetanse en viktig del av informasjonssikkerheten
System og rutiner er nødvendige for å unngå slike hendelser, men det er ikke nok. En del av de uønskede hendelsene skyldes menneskelig svikt. Derfor er sikkerhetsopplæring og sikkerhetskompetanse svært viktige deler av informasjonssikkerheten. Det synes Mørketallsundersøkelsen å bekrefte.
Direktør Jack Fischer Eriksen i Næringslivets Sikkerhetsråd oppsummerer undersøkelsen for 2018 blant annet slik:
- Norge er et av verdens mest digitaliserte land, noe som i tillegg til muligheter også gir oss nye sårbarheter og utfordringer. Det er satset mye på innovasjon og utvikling, men ikke like mye på utdanning og kompetanse innen IT-sikkerhet. Dette er et gap som må tettes.
Nasjonal sikkerhetskampanje hvert år
Dette er bakgrunnen for at Norsk senter for informasjonssikring (NorSIS) årlig arrangerer en nasjonal kampanje for informasjonssikkerhet. Kampanjen har vært gjennomført oktober hvert år siden 2011. Oktober er nasjonal sikkerhetsmåned. NorSIS setter da søkelyset på hva virksomheter kan og bør gjøre for å hindre trusler mot den digitale tryggheten og med det sikre verdiskapning og velferd. Som en del av kampanjen tilbyr NorSIS en opplæringspakke for små og mellomstore bedrifter og et opplegg for kartlegging av informasjonssikkerhetskulturen i virksomhetene.
Datasletting er en risikosone
God informasjonssikkerhet betyr at man må ha sikkerhet i alle ledd - også når man skal oppfylle GDPR-kravet om å slette personopplysninger når det ikke lenger er grunnlag for å ha dem lagret. Denne sletteprosessen kan være en risikosone. Rutinene rundt sletting må være sikre.
Det vil si at lagringsmedier som ikke er i bruk og papirdokumenter med sensitive data, må oppbevares slik at uvedkommende ikke får tilgang til dem. Det betyr at alle ansatte må ha kjennskap til dem og følge disse rutinene. Det krever kontinuerlig opplæring som en del av det å skape en sikkerhertskultur i virksomheten.
Så må man ha en sikker metode for slettingen. NG Secure kan tilby en slik sikker metode ved makulering. Vi har investert i kverner for makulering både av digitale lagringsmedier og av papirdokumenter. Sikkerheten står i høysetet gjennom hele makuleringsprosessen vår. Vi setter ut plomberte beholdere hvor digitale lagringsmedier og papir kan legges inn. Beholderne hentes av sikkerhetsgodkjent personell og transporteres i låste biler til et lukket anlegg med videoovervåking og alarm hvor kverningen skjer. Etter kverning vil det ikke være mulig å gjenskape det opprinnelige innholdet i lagringsmediene eller papirdokumentene.
Vil dere ha en repetisjon av de sentrale kravene i GDPR, finner du en gratis sjekkliste nedenfor.