Bruk e-post på en sikker måte

Les NorSIS sine råd
om e-post sikkerhet

Nyheter Veiledninger Leksikon Sikkerhetsverktøy Ofte stilte spørsmål Lenker Om NorSIS

Sikkerhetsledelse i kommuner

Som leder må du ta valg som vil påvirke hvor god informasjonssikkerhet kommunen har. Denne veiledningen tar for seg hvorfor en kommune bør satse på informasjonssikkerhet, og hva som er lederens rolle i dette arbeidet.

Denne veiledningen er spesielt rettet mot ledere i kommuner. Som leder trenger du ikke være ekspert på informasjonssikkerhet. Likevel vil du være nødt til å ta valg som vil ha betydning for hvor god og effektiv informasjonssikkerhet kommunen kan oppnå. Denne veiledningen tar for seg hvorfor en kommune bør satse på informasjonssikkerhet, og hva som er en leders rolle i dette arbeidet. Veiledningen er utarbeidet i samarbeid med Forening for kommunal informasjonssikkerhet (KInS).

Hva er informasjonssikkerhet?

Informasjonssikkerhet handler om beskyttelse av informasjon, slik at

informasjon ikke kommer uvedkommende i hende (konfidensialitet)
man kan stole på at informasjonen er korrekt og pålitelig (integritet)
informasjonen er der når man trenger den (tilgjengelighet).

Ledelsens ansvar for informasjonssikkerhet

Ledelsen i en kommune har ansvar for at kommunen drives forsvarlig. Dette innebærer også et ansvar for at informasjon behandles på en god måte. For å kunne drive en kommune effektivt vil de fleste oppgaver være avhengig av god og korrekt tilgang til informasjon. I tillegg stiller lovverket krav på området, spesielt når det gjelder personopplysninger. Kommuner behandler mange personopplysninger, og gjennom personopplysningsloven er ledelsen ansvarlig for forsvarlig behandling av slike data.

Informasjonssikkerhet er viktig for kommuner

Vi lever i et informasjonssamfunn, der god og sikker behandling av informasjon er viktig for mange områder: Helsehjelp, effektivitet i saksbehandling, kommunikasjon med innbyggere, osv. Derfor har informasjonssikkerhet også blitt mer og mer viktig.

Avhengighet til IKT

IKT kan effektivisere arbeidsprosesser, og kommuner har etter hvert blitt svært avhengige av IKT systemer for å gjennomføre nødvendige oppgaver. Tenk over:

Hvor mange arbeidsoppgaver kan stoppe opp dersom IKT systemet ikke fungerer?
Vil pasientbehandlingen på sykehjem bli skadelidende dersom du ikke kan stole på informasjonen i IKT systemet?
Hva skjer med kontakten med kommunens innbyggere dersom kommunens nettside blir utilgjengelig over lengre tid?
Hvilke problemer kan oppstå dersom all informasjon på en viktig server går tapt?

Hvem vil angripe en kommune?

Internett bringer hele verden til oss, både de gode og de dårlige sidene. Angrep fra Internett er lett å se for seg, og mange slike angrep har ingen spesielle mål. Virus og ormer er dagligdags. Spionprogrammer og phishing er nye aktuelle trusler. Angripere søker automatisk etter systemer som er dårlig sikret, for å ta kontroll over disse og bruke de videre i angrep mot andre. Det er ingen grunn til å tro at en liten kommune blir oversett.

Det finnes også trusler i egen organisasjon. Mørketallsundersøkelsen 2003 (nye tall!!) viser at halvparten av gjerningsmenn som blir oppdaget er egne ansatte. Kommuneansatte har tilgang til mye informasjon som kan utnyttes til skade for arbeidsgiver, eller for å oppnå egen vinning. Det kan være misfornøyde ansatte som ønsker å hevne seg. Ansatte vil også kunne forårsake uhell, selv om de handler i god tro. Det vil oppstå feil i IKT systemer. Utstyr kan bli ødelagt eller mistet. Både eksterne angrep og interne uhell kan få store konsekvenser.

Kost/nytte

Informasjonssikkerhet blir ofte sett på som en kostnad, og dermed en utgiftspost man må holde så lav som mulig. Men det å bli utsatt for datakriminalitet eller uhell koster også. Kostnaden kan være vanskelig å regne ut. Spørsmål en kan stille seg er:

Hva koster den tiden man bruker på å finne ut at noe er galt?
Hva koster driftsavbruddet, og den tiden ansatte ikke er i stand til å gjennomføre arbeidet på vanlig måte?
Hva koster det at brukere kan bli misfornøyde og heller gå over til manuelle metoder?
Hva koster opprydningsarbeidet som må gjøres på utstyret i etterkant?
Hva er konsekvensen dersom sensitive personopplysninger kommer på avveie?
Hva er kostnaden ved å måtte stå til ansvar for å ha brutt lovverket?

Kommuner har mange viktige oppgaver som i stor grad styrer kostnadene. Det er likevel ikke fornuftig å la effektivitet og tillit lide. Enkle og kostnadseffektive tiltak kan i vesentlig grad bidra til forbedret informasjonssikkerhet.

Hva en leder må kunne om informasjonssikkerhet

Det er viktig er at en kommunal leder vet hvilke verdier og prosesser som er viktige for kommunen, og kan prioritere disse. Lederen har ansvar for å prioritere og å bestemme hvor god sikkerhet kommunen skal ha. Det er viktig å ta stilling til hva som er akseptabel risiko. Ledelsen bør delegere ansvar for å gjennomføre sikringstiltak. Noen tiltak er tekniske, f eks anti-virus, brannmur og sikkerhetskopiering. Andre tiltak er rettet mot organisasjonen og mennesker, f eks opplæring, rutiner for håndtering av sikkerhetshendelser, sikkerhetsregler og risikostyring. Fysiske tiltak som sikring av maskinrom er også viktig.

Ansvar for informasjonssikkerhet bør legges utenfor IKT avdelingen, for å skille mellom premissgiver og det operative. Av ressursmessige hensyn velger mange å legge funksjonen til IKT avdelingen. Dette kan gjøre at de tekniske tiltakene får for stort fokus. Kunnskaper, holdninger og rutiner kan være minst like viktige som tekniske tiltak. Ofte blir det sagt at sikkerhetsarbeidet er 20 % teknologi og 80 % mennesker. Som leder, og kunde, er det viktig å sørge for at begge aspekter blir ivaretatt.

Arbeidsprosesser

Trusselbilde og egne krav til sikringstiltak er i stadig endring. Det er viktig at ledelsen ser på informasjonssikkerhet som et langsiktig og kontinuerlig arbeid. Arbeidet med informasjonssikkerhet kan ses på som en prosess, hvor ledelsen må bidra med beslutninger og prioriteringer. Ledelsen må ta beslutning og vedta hva man ønsker å oppnå med det å arbeide med informasjonssikkerhet. Sammen med en beslutning må det komme ressurser og ansvar.

Lovverket pålegger gjennomføring av risikovurderinger for å vurdere hvilket behov man har for informasjonssikkerhet, og hva som truer informasjonssikkerheten. Områder der risikoen er høyere enn akseptabelt trenger ytterligere tiltak. Ledelsen bør være med i vurderingen om hva som er akseptabel risiko.

Basert på risikovurdering, foreslår man enkelttiltak som bør gjennomføres for å redusere risiko ned på akseptabelt nivå. Det må besluttes hvilke tiltak virksomheten skal gjennomføre. Hvilke ressurser som er nødvendig og hvem som er ansvarlig for gjennomføring på besluttes. Deretter må enkelttiltak gjennomføres og man må vurderer hvordan enkelttiltak virker.

Til slutt må man evaluerer samlet effekt av gjennomførte tiltak. Erfaringene kan føre til at man ser områder det er naturlig å forbedre, eller tiltak man ikke ønsker å gå videre med.

Informasjonssikkerhet og lederens rolle

Ledere, og spesielt øverste leder, har en viktig rolle i en organisasjon:

Lederen har ansvaret.
Lederen er den som kommer med føringer, og kan prioritere.
Lederen er den som har størst mulighet til å belønne god atferd.
Lederen er et forbilde.

Prioritering og ressursbruk

Ledelsen har ansvar for prioritering og tildeling av ressurser, og har derfor er særskilt ansvar for å legge til rette for riktig nivå av sikkerhet i samarbeid med de som får delegert ansvar for sikkerheten. Sikkerhetsarbeidet kan skje i mange trinn, og man trenger ikke å starte i hele kommunen. Det anbefales at man starter med å definere ansvarsforhold og lage og forankre retningslinjer og sikkerhetspolicy.

Det er fornuftig å jobbe mest mulig med forebyggende sikkerhetsarbeid, og ikke primært med brannslukking. Av og til må en rydde opp etter at skader har skjedd, men dette er en kostbar og lite effektiv metode. Det er viktig at ledelsen avgir ressurser til å følge med på utviklingen, både endrede behov i egen organisasjon og endring i trusler utenfra, for å kunne styre risiko og arbeide forebyggende. En langsiktig plan for arbeidet med informasjonssikkerhet er viktig. Enkelte sikringstiltak vil ha effekt med en gang, mens andre ikke vil gi umiddelbare resultater. Tiltakene kan likevel være svært viktige på lang sikt.

Ledelsen har et ansvar for å sette informasjonssikkerheten inn i en helhet. Dette innebærer å vurdere hvor god sikkerhet kommunen faktisk skal ha, men også å stille krav til helhetstenkning i sikkerhetsarbeidet. Det er viktig å unngå at spesialinteressen til IKT ansvarlig bestemmer for mye. Hele organisasjonsperspektivet må med, ikke bare det tekniske.

Oppfølging

Lederen er den som har mulighet til å stille krav til hva man skal oppnå med informasjonssikkerhetsarbeidet. For å sikre effektiv satsning på informasjonssikkerhet er det viktig at ledelsen bidrar med ressurser og stiller krav til resultater av satsningen. Resultatene og utviklingen på sikkerhetsområdet bør rapporteres til ledelsen, og det bør finnes rutiner for dette. Dette for å sikre at satsningen samsvarer med ledelsens mål, og for å motivere de som jobber med informasjonssikkerhet.

Rutiner for rapportering av sikkerhetsarbeidet må etableres. Sikkerhetspolicyen bør beskrive målene med informasjonssikkerhetsarbeidet, hva som er satsningsområdene og hvor de etablerte ansvarsforholdene er beskrevet.

Oppfordre til god sikkerhetsatferd

En leder er et forbilde, noe som forplikter. En leder som ikke bryr seg med å følge kommunens sikkerhetsregler, vil heller ikke få de ansatte til å følge reglene. En leder må vise at dårlig sikkerhetsholdninger får konsekvenser på samme måte som dårlig oppførsel på andre måter i jobben.

Det er viktig at informasjonssikkerhet settes på dagsorden med jevne mellomrom og at lederen viser at dette er viktig for kommunen. Engasjement fra øverste leder brer seg raskt ned i organisasjonen.

Noen tips til ledere

Lag en oversikt over verdier og prosesser som er viktig for kommunen.
Definer ansvar for oppgaver og satsninger innen informasjonssikkerhet, og gi nødvendige ressurser til å ta vare på dette ansvaret.
Vær en krevende kunde! Bidra med ressurser, og still krav til resultater.
Ha forståelse for at viktige tiltak ikke nødvendigvis gir umiddelbare resultater.
Trusler og sikringstiltak innen informasjonssikkerhet er i rask endring. Sørg for å ha gode interne krefter eller la ansvarlige bruke konsulenter.
Krev å bli oppdatert på fremgangen i informasjonssikkerhetsarbeidet, på lik linje med andre områder. Etabler faste rutiner for statusrapportering.
Still krav til helhetstenkning i informasjonssikkerhetsarbeidet.
Ha fokus på styring av risiko.
Sørg for at det blir laget en informasjonssikkerhetspolicy, og at denne blir gjort kjent for de ansatte.
Vær opptatt av kompetanse og bidra til holdningsskapende arbeid i kommunen.
Følg egne informasjonssikkerhetsregler.

Mer informasjon

NorSIS

Sikkerhetsledelse

Denne veiledningen tar for seg de hovedpunktene ledere og informasjonssikkerhetsansvarlige i virksomheter må følge opp i sitt arbeid.

Hvordan lage informasjonssikkerhetspolicy

Veiledningen beskriver innhold og prosesser i en informasjonssikkerhetspolicy, og inneholder en mal for hvordan en slik policy kan bygges opp.

Veiledning om risikostyring

Denne veiledningen er utarbeidet av NorSIS i samarbeid med KInS og tar for seg hvorfor man bør ha fokus på styring av risiko, og hvordan man kan gå frem.

Omstilling med IKT – utfordringer for kommuner og fylkeskommuner

Dokumentet gir gode eksempler på hvilken positiv rolle IKT kan spille for kommuner. For å ta ut gevinster og for ikke å bli for sårbar, vil riktig informasjonssikkerhet bli viktig

KS IKT-forum

IKT og ledelse

Et hefte som gir tips til hvordan ledelsen kan styre IKT investeringer for å oppnå best mulig effekt. Utgis av Kommuneforlaget..

Datatilsynet

Veileder i informasjonssikkerhet for kommuner og fylker

Denne veilederen er spesielt tilpasset kommuner, og gir anbefalninger for å sikre personopplysninger på en tilfredsstillende måte.

Denne ukens ansvarlige for spørsmål og svar

Har du spørsmål om informasjonssikkerhet? Spør oss i NorSIS!