Informasjonssikkerhetskultur – har dere det?

Tida nærmer seg for det årlige regnskapsoppgjøret og revisjon av det.  Det tar mye tid og oppmerksomhet. Likevel kan det være lurt å vurdere om det er andre sider ved virksomheten hvor en gjennomgang og revisjon kan være verdifull ved starten av et nytt år. Hvordan står det for eksempel til med informasjonssikkerheten? Har dere en sikkerhetskultur som hindrer at sensitiv informasjon kommer på avveie?

Informasjonssikkerhet er et helt sentralt begrep i den nye personopplysningsloven som EUs personvernforordning (GDPR) er en del av. Et system for informasjonssikkerhet er blant de pliktene Datatilsynet peker på at den nye loven innebærer.  Men et slikt system må bestå av mer enn vedtatte rutiner. Det må være sikkerhet i alle ledd. Det krever at en informasjonssikkerhetskultur gjennomsyrer virksomheten.

Hva er sikkerhetskultur?

Norsk senter for informasjonssikring (NorSIS) beskriver informasjonssikkerhetskultur slik:

«Det er summen av våre verdier, meninger, holdninger, interesser, kunnskap, skikker og handlinger. Begrepet er gjenstand for diskusjon i fagkretsene, og er ganske sammensatt og komplekst. Men; Slik er jo menneskets natur. Vi mener én ting, men gjør noe annet. Vi kan ha irrasjonelle forestillinger om risiko, og vi har en tendens til å se årsak og virkning der det ikke er noen. Alt dette blir gjerne oppsummert i det vi kaller sikkerhetskultur.»

Dette er med andre ord komplekst. Informasjonsikkerhet i praksis betyr derfor at det må jobbes kontinuerlig med den og på flere plan.  Likevel kan en enkel kartlegging av virksomhetens risikofaktorer ved å finne svar på en del spørsmål også bli en form for et sikkerhetsregnskap som revideres årlig.

Hvilke risikofaktorer finnes i virksomheten?

• Er det kø ved printere, kopimaskiner eller makuleringsmaskiner? Da er det fort gjort at folk blir lei av å vente og legger igjen dokumenter og glemmer dem der. Det kan være starten på uønskede sikkerhetshendelser.
• Har dere fortsatt papirkurver ved arbeidsplassene? Da havner lett sensitive dokumenter der også og derfra er veien kort til søpla og til at dokumentene kommer i hendene på uvedkommende.
• Hvordan ser det ut på møterommene? Blir dokumenter liggende igjen etter møtene? Da får uvedkommende lett tak i dem.
• Blir sensitivt materiale liggende igjen på skrivebordene? Da er de i så fall lett tilgjengelige for alle andre. Undersøkelser viser at mange leser dokumenter de finner på denne måten.
• Er dere sikre på at rutinene deres er gode nok? En mulighet er å ta sikkerhetstesten vår.
• Hva gjør dere med digitale lagringsmedier som ikke brukes lenger? Hvor lagrer dere dem? Hvordan slettes dataene på dem? Undersøkelser viser at det i mange tilfeller har vært mulig å gjenskape innhold på digitale lagringsmedier, som har vært lagt ut til salg.
• Kjenner alle ansatte til informasjonssikkerhetsrutinene? Har alle fått grundig opplæring i dem og har dere ofte gjennomgang av dem? Informasjonssikkerhet er en kontinuerlig prosess.
• Har dere et system for jevnlig å sjekke at sikkerhetsrutinene følges? Glipper skjer lett og undersøkelser viser at mange skyldes menneskelig svikt. Uønskede hendelser koster norske virksomheter milliarder av kroner årlig.
• Har dere et opplegg med sikker makulering? Sletting av personopplysninger er et krav i GDPR, når det ikke lenger er grunn til å ha dem lagret. Det skal skje på en sikker måte. Mulighetene for at sensitiv informasjon kommer på avveie, er stor hvis sletterutinene er for dårlig.

NG Secure kan tilby sikker makulering ved å kverne sensitivt materiale. Kontakt oss gjerne for mer informasjon. Nedenfor kan du laste ned en gratis sjekkliste for GDPR. Den vil forhåpentligvis være nyttig hvis du ønsker å ta en ekstra gjennomgang av rutiner og praksis.