Øvelse gjør mester


En årlig undersøkelse viser at mindre enn 1 av 3 statlige virksomheter gjennomfører årlig beredskapsøvelse.
Undersøkelsen er foretatt blant alle statlige virksomheter av DIFI. Tallene viser at 73 % av statlige virksomheter har sørget for å få på plass en beredskapsplan. For de minste virksomhetene er det under halvparten som har beredskapsplan, mens andelen stiger hos de større.

I dag må man regne med at hendelser vil inntreffe og å øve på hendelser og situasjoner vil styrke muligheten til å kunne håndtere dem. Drøyt halvparten av virksomhetene med flere enn 1000 ansatte øver, mens hos virksomhetene med mindre enn 100 ansatte er det kun 17 % som øver.

IT-beredskapen i staten svikter fordi lederne ikke engasjerer seg i problemet, sier  informasjonssikkerhetssjef Lillian Røstad hos Difi til Teknisk Ukeblad. Røstad sier videre at i ytterste konsekvens vet man ikke hvilke risiko man lever med før det er for sent.  – Når en hendelse inntreffer, har man ofte ikke tid til å forholde seg til skriftlige planer. Man må agere der og da. Og skal du handle i tråd med det som er planlagt, må du ha øvd regelmessig – slik at planene sitter i ryggmargen, poengterer hun.

Som et minimum skal ledelsen i en statlig virksomhet ha en gjennomgang av sikkerhetstiltakene hvert år, for å kunne ha kunnskap om behov, status og tiltak innen informasjonssikkerhet. For de små statlige virksomhetene er det bare 21 % som gjør dette. For de store er det 38 % som har ledelsens gjennomgang.

Det er også bare 57 % av virksomhetene som gjennomfører systematiske risikovurderinger. Risikovurderinger er vesentlige for å få en oversikt over hvilke trusler som kan ramme virksomheten og det er også et godt verktøy for kunne vurdere hvilke sikringstiltak som er effektive for å demme opp om truslene.

NorSIS anbefaler

  • Lag en beredskapsplan slik at man vet hva man skal gjøre når hendelser skjer. Les vår
  • Øv på planene slik at man er mer forberedt når hendelser skjer
  • Sørg for at ledelsen i virksomheten gjennomgår status på informasjonssikkerhet minst årlig
  • Gjennomfør risikovurdering, og sørg for at den er oppdatert minst årlig eller ved større endringer
  • Bruk gjerne Nasjonal Sikkerhetsmåned, oktober, til å ta en gjennomgang internt også i forhold til risikovurderinger, beredskapsplaner og øvelser.
  • Gjennomfør også opplæring av alle ansatte. Beredskapsøvelse gir f eks en svært god opplæring.

Les mer

NorSIS sin veiledning om sikkerhetsledelse

NorSIS sin veiledning om risikostyring

Teknisk Ukeblad

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.