Informasjonssikkerhetskultur er ikke bare rutiner og systemer. Det handler om vaner og hvordan folk faktisk jobber i praksis – i hverdagen, mellom møter, ved printere og etter arbeidstid. Har virksomheten en sikkerhetskultur som hindrer at sensitiv informasjon kommer på avveie?
Informasjonssikkerhet er et sentralt begrep i personopplysningsloven som EUs personvernforordning (GDPR) er en del av. Datatilsynet understreker at virksomheter er forpliktet til å ha et system for informasjonssikkerhet etter loven. Men et slikt system må bestå av mer enn vedtatte rutiner – det må være sikkerhet i alle ledd.
I store virksomheter med kompleks struktur, mange avdelinger og høy dokumentflyt, er det avgjørende med en tydelig informasjonssikkerhetskultur som gjennomsyrer hele virksomheten.
Hva er sikkerhetskultur?
Norsk senter for informasjonssikring (NorSIS) beskriver sikkerhetskultur slik:
«En sikkerhetskultur innebærer et sett med verdier, holdninger og normer som tilsvarer den felles oppfatning en virksomhet har til informasjonssikkerhet. […] Sikkerhetskulturen er med på å forme menneskene i virksomheten, både deres vaner, holdninger og handlingsmønstre. Fenomenet handler om risikoforståelse, tilhørighet, tillit og interesse.»
Dette er med andre ord komplekst. Informasjonssikkerhet i praksis betyr derfor at det må jobbes kontinuerlig med den og på flere plan. En enkel kartlegging av virksomhetens risikofaktorer kan bidra til å styrke sikkerhetskulturen.
Hvilke risikofaktorer finnes i virksomheten?
Sikkerhetsbrudd kan skje på flere måter. Her er noen kjente risikoområder:
- Kø ved printere og makuleringsmaskiner: Folk blir utålmodige og går fra dokumenter som inneholder sensitiv informasjon.
- Papirkurver ved arbeidsplasser: Uvedkommende kan lett få tak i det som egentlig skulle vært makulert.
- Dokumenter på møterom: Blir de liggende igjen etter møtet, kan hvem som helst få innsyn.
- Skrivebord fulle av papirer: Forlatte dokumenter blir lett lest – undersøkelser bekrefter dette.
- Manglende oversikt over sikkerhetsrutinene: Er dere sikre på at rutinene deres er gode nok?
- Ingen kontroll av rutineoppfølging: Har dere et system for jevnlig å sjekke at sikkerhetsrutinene følges? Glipper skjer lett og uønskede hendelser koster norske virksomheter milliarder av kroner årlig.
- Ubrukte digitale lagringsmedier: Hva gjør dere med digitale lagringsmedier som ikke brukes lenger? Hvor lagrer dere dem og hvordan sletter dere dataene? Det er ikke et ukjent fenomen at det har vært mulig å gjenskape innhold på digitale lagringsmedier, som senere har blitt lagt ut til salg.
- Lite opplæring i sikkerhet: Kjenner alle ansatte til informasjonssikkerhetsrutinene? Har alle fått grundig opplæring i dem og har dere ofte gjennomgang av dem? Informasjonssikkerheter en kontinuerlig prosess.
- Ingen løsning for sikker makulering: Har dere et opplegg for sikker makulering? GDPR krever sletting av persondata når det ikke lenger er grunn til å lagre dem. Det skal skje på en sikker måte. Mulighetene for at sensitiv informasjon kommer på avveie, er store hvis sletterutinene er for dårlige.
NG Secure tilbyr sikker makulering ved å kverne sensitivt materiale – med full dokumentasjon og sporbarhet. Kontakt oss gjerne for mer informasjon eller en uforpliktende prat.
Dette blogginnlegget ble sist publisert 24. januar 2019 og er senere oppdatert.
