Mange it-sikkerhedsfolk understreger vigtigheden af, at it-sikkerhedshåndbogen eller virksomhedens politik for it-sikkerhed "forankres" i organisationen. Vores konsulentafdeling har udgivet en række tips til, hvordan I kan sikre og fastholde forankringen af jeres it-sikkerhed.
Anbefaling 1: Involvér
Alle jeres afdelinger, enheder eller områder skal inddrages i passende grad, når I træffer beslutninger om jeres it-sikkerhed. I skal sikre, at I har ledelsens opbakning. Identificér en person i jeres ledelse der vil være sikkerheds-ambassadør. Nogle større virksomheder har lavet en kort video, hvor deres administrerende direktør fortæller medarbejderne, hvorfor informationssikkerhed er vigtigt. Etablér et it-sikkerhedsforum med repræsentanter fra alle væsentlige områder i jeres organisation. Forummet skal have et klart defineret formål, og vil typisk mødes 4 gange om året med en fast dagsorden. Send nye politikker og regler til høring, inden de vedtages. Relevante afdelinger skal selv medvirke til at etablere og vedligeholde procedurer inden for deres område.
Anbefaling 2: Skab forståelse
Der er forudsætninger for, at it-sikkerhedsregler har en virkning. Kendskab er den ene. De personer, der skal følge reglerne, skal kende dem. Forståelse og accept er den anden forudsætning: Regler skal begrundes og/eller præsenteres i en sammenhæng, så de accepteres. Mange af os er ikke motiverede til at følge regler, som vi ikke forstår eller finder ufornuftige. Det gælder specielt it-sikkerhedsregler, som mange brugere ikke har et specielt lystbetonet forhold til.
Anbefaling 3: Synliggør
Der skal ikke være tvivl om jeres it-sikkerhedsmål, om hvad der accepteres og ikke accepteres. Vis jeres brugere, at der er en fornuftig sammenhæng i jeres samlede it-sikkerhedsprogram. En sammenhæng mellem "hvorfor-nivauet", "hvad-niveaet" og "hvordan-niveaet". I skal synliggøre jeres overordnede "hvorfor-arbejder-vi-med-sikkerhed-niveau" og forbinde det med "hvad accepterer vi, hvad accepterer vi ikke" - dvs. jeres regler. Og jeres regler skal I forbinde med jeres "sådan-gør-vi".
Anbefaling 4: Kort og simpelt
Jo mindre information I vælger at præsentere for jeres brugere, jo bedre kan de efterleve de it-sikkerhedskrav, I stiller til dem. Indrømmet, det er lettere sagt end gjort. Men ikke desto mindre giver det både sikkerhed, værdi og effektivitet i jeres organisation, når I doserer jeres it-sikkerhed rigtigt.
Anbefaling 5: Mål for at forbedre - "Du får hvad du måler".
Hvis du vil have forankring må du måle forankringen. Det kan du gøre ved at gennemføre intern revision, selvangivelser, vidensmålinger, awareness-quizzer og meget mere. Hvis du vil forbedre sikkerheden på et givent område, må du kende udgangspunktet for at kunne dokumentere en forbedring.
Anbefaling 6: Klar ansvarsplacering
Hvis du tror jeg løser opgaven, og jeg tror du løser opgaven, er der betydelig risiko for at ingen af os udfører den. Og når den uklare ansvarsplacering går op for os, er vi allerede forsinkede.
Anbefaling 7: Opfølgning
Når I har placeret et ansvar og bedt nogle personer om at udføre en række opgaver, er det væsentligt at I følger op på, om opgaverne nu også er løst. Synliggør resultaterne og dokumenter jeres opfølgning på jeres it-sikkerhedsarbejde. Giv tilbagemeldinger, fx opgavestatistik, til de personer, der deltager. Det er jo ikke ligegyldigt, at de har udført deres opgaver.
Værktøj kan lette forankring
Alle de ovennævnte tips til forankring kan og må du bruge internt i jeres virksomhed. Hvis du også bruger vores GRC platform, bliver det ekstra nemt for jer at gennemføre disse tips til forankring:
Nr. |
Anbefaling |
Hvilke ISMS moduler hjælper? |
Eksempler på funktionalitet |
1 |
Involvér |
Policy, Opgavestyring, |
Workflow til review og vedligeholdelse af sikkerhedsdokumentation. Rapporter til it-sikkerhedsforum. |
2 |
Skab forståelse |
Awareness |
Emneopdeling |
3 |
Synliggør |
Awareness |
Intranet, email påmindelser, quizzer, vis sikkerhedsregler i andre applikationer |
4 |
Kort og simpelt |
Policy & Awareness |
Målgruppeopdeling og nem adgang |
5 |
Mål for at forbedre - "Du får hvad du måler" |
Compliance |
"Selvangivelser" på jeres regler eller procedurer |
6 |
Klar ansvarsplacering |
Policy og Opgavestyring |
Opgavestyring og ejerskab er dokumenteret |
7 |
Opfølgning |
Opgavestyring |
Rapporter, der viser udførte aktiviteter for hvert eneste element i jeres it-sikkerhedshåndbog |