Hver fjerde virksomhet har opplevd uønskede sikkerhetshendelser. Det viser mørketallsundersøkelsen som Norsk senter for informasjonssikring (NorSIS) gjennomførte i 2016. Hendelsene kan få alvorlige konsekvenser som svindelforsøk mot egen eller andres virksomhet, hacking, digital utpressing, tap av sensitiv informasjon, ID-tyveri, personlige krenkelser og direktørsvindel.
Når dette framkommer i en såkalt mørketallsundersøkelse, skyldes det at mange bedrifter er tilbakeholdende med å innrømme at de har blitt utsatt for slike forsøk. Både hendelsene og de alvorlige konsekvensene av dem kan unngås hvis virksomhetene har gode sikkerhetsrutiner og ikke minst sørger for kontinuerlig opplæring av ansatte. Det er viktig at de både kjenner til sikkerhetsrutinene og risikoen for at sensitiv informasjon kan komme på avveie og bevissthet om mulige konsekvenser av egne handlinger.
Sikkerhetskultur
God sikkerhetskultur handler med andre ord om gode og formaliserte rutiner og brukerens kunnskap, holdninger og adferd.
Selv om teknologien har utviklet seg og blitt sikrere enn noen gang, har de kriminelle gått fra å angripe tekniske sikkerhetsmekanismer, til å angripe menneskene som bruker teknologien. Hvilke holdninger og motivasjon dine medarbeidere har i forhold til dette, kan være kritisk for din virksomhet.
For en offentlig bedrift vil dårlig sikkerhetskultur være en trussel for rikets sikkerhet. For private bedrifter vil det innebære en trussel for omdømme, økonomi og markedsandeler.
Nasjonal sikkerhetsmyndighet (NSM) råder alle virksomheter til å jobbe målrettet for å oppnå en god sikkerhetskultur. SINTEF tilbyr også et verktøy ( Sjekk IT ) som kan brukes til å måle din virksomhets sikkerhetskultur.
Sikkerhetsgradert materiale krever spesialbehandling
Har du med sikkerhetsgradert informasjon å gjøre, vet du sannsynligvis at det må foreligge en avgjørelse om arkivbegrensning eller kassasjon i henhold til arkivloven, før du kan slette dokumentet.
Sikkerhetsgraderte dokumenter må tilintetgjøres med en slettemetode som ikke gjør det mulig å rekonstruere informasjonen slik at det blir lesbart igjen. Det kan gjøres ved hjelp av brenning, krysskutting, avmagnetisering, sliping eller knusing. Metoden du velger skal være godkjent av NSM . Kjøper du denne tjenesten av en godkjent aktør, kan de hjelpe deg med jobben, eller stille anlegg til disposisjon.
Internkontroll og informasjonssikkerhet
Alle offentlige virksomheter er pålagt å ha internkontroll for informasjonssikkerhet. Datatilsynet har laget en veileder for dette arbeidet, med vekt på lederansvar, sikring av personopplysninger og hvordan rutiner kan etableres.
Nettvett.no har også utarbeidet en håndbok for informasjonssikkerhet for små og mellomstore bedrifter, kommuner og organisasjoner. Jeg anbefaler deg å ta en titt på linkene.
Informasjonssikkerhet angår de fleste av oss - uansett
Selv om din bedrift ikke er offentlig eller er involvert i arbeidet med sikkerhetsgraderte dokumenter, må dere likevel ha fokus på informasjonssikkerhet.
Hvordan er det i din bedrift? Har dere opplevd hacking og trusler på nett? Er dere rustet til å takle det? Hvis du er usikker, er tiden utvilsomt inne for å ta en gjennomgang av bedriftens sikkerhetsrutiner. Gjennomgangen bør inneholde en kontroll av både digital og papirbasert informasjon. Har dere gode rutiner for destruksjon og datasletting? Sjekk det nå, og vær føre var! Du kan også benytte anledningen til å ta den korte sikkerhetstesten nedenfor.
Dette innlegget ble første gang publisert 21. desember 2016 og er nå redigert.