Hvordan lykkes i arbeidet med informasjons­sikkerhet? – En innføring i Digitaliserings­direktoratets veiledning «Internkontroll i praksis – Informasjons­sikkerhet»

I et stadig mer digitalisert samfunn står norske virksomheter overfor økende trusler mot informasjonssikkerheten. For å hjelpe virksomheter i møte med disse utfordringene, har Digitaliseringsdirektoratet utviklet en veiledning som baserer seg på anerkjente standarder.

Internkontroll i praksis – informasjonssikkerhet er et veiledningsprodukt til hjelp og støtte i arbeidet med informasjonssikkerhet. Det er utarbeidet av Digitaliseringsdirektoratet til bruk i alle virksomheter i offentlig forvaltning og beskriver hvordan virksomheter kan etablere og vedlikeholde systematisk styring av informasjonssikkerhet. Internkontroll er leders redskap for å styre risiko på informasjonssikkerhetsområdet. Kjernen i internkontrollen er systematiske aktiviteter som gjennomføres av ledere med ansvar for virksomhetens oppgaver og tjenester.

Bakgrunn

I norsk offentlig forvaltning pågår det stadig store informasjonssikkerhetsbrudd som får store konsekvenser. Vi har sett at bekymringsmeldinger til barnevernet er blitt borte, og at flere kommuner har opplevd dataangrep som har påvirket deres evne til å levere lovpålagte oppgaver og tjenester.

At disse hendelsene skjer, får ikke bare konsekvenser for evnen til å utføre oppgaver og levere tjenester, men det kan også bidra til at befolkningen får mindre tillit til det offentlige. Vi ser at det er en økt trussel for brudd som en følge av at samfunnet blir stadig mer digitalisert, og som en følge av internasjonale konflikter, som krigen i Ukraina. Men fordelen med digitalisering er store – det er ikke lenger like tidskrevende å skulle levere selvangivelsen, og vi har helt andre muligheter for en hybrid arbeidshverdag.

Så hva kan man gjøre for å sikre at utførselen av oppgaver og tjenester skjer på en trygg måte? Hvordan skal man arbeide med informasjonssikkerhet som en integrert del av virksomhetsstyringen?

Risikostyring og internkontroll er helt sikkert godt kjente fagfelt for mange lesere av dette tidsskriftet, men hvordan dette gjøres i tilknytning til informasjonsbehandling kan være mer uklart. Begrepene henger tett sammen og blir brukt om hverandre; arbeidet med internkontroll vil si det samme som å gjøre risikostyring på operasjonelt nivå i virksomheten[1].

Vi ønsker å vise med vårt veiledningsmateriale hvordan man kan inkludere informasjonssikkerhet i den generelle virksomhetsstyringen, og oppfordrer til å bruke de metodene man allerede har på plass.

Veiledningen har som mål å gi virksomheter retningslinjer for å etablere og opprettholde en solid internkontroll for informasjonssikkerhet. Dette inkluderer håndtering av risikoer, implementering av tiltak, og kontinuerlig forbedring av sikkerhetspraksiser.

Vi har med vår veileder forsøkt å gi både et teoretisk og praktisk redskap for ledere i arbeidet med å styre risiko på informasjonssikkerhetsområdet. Denne artikkelen gir en kort gjennomgang av de hovedaktivitetene vi anbefaler, syv styringsaktiviteter som vil bidra til å skape en mer helhetlig styring og kontroll av informasjonssikkerhet. Men først kort hva vi legger i internkontroll og informasjonssikkerhet.

Hva menes med intern kontroll?

Lesere av dette tidsskriftet er nok kjent med hva som legges i intern kontroll, men jeg vil likevel si noe om hva begrepet betyr i denne sammenhengen.

Man kan si at intern kontroll er de systematiske tiltakene en virksomhet iverksetter for å sikre at de etterlever lover og regler, og for å nå sine mål. Det er noen grunnleggende aspekter ved styring og kontroll som er felles for flere fagområder. Ved å se sammenhengen mellom ulike fagområder, kan virksomheten jobbe målrettet, effektivt og koordinert med styring og kontroll.

Man kan si at intern kontroll er de systematiske tiltakene en virksomhet iverksetter for å sikre at de etterlever lover og regler, og for å nå sine mål.

Uavhengig av om man jobber med økonomistyring, informasjonssikkerhet, personvern, nasjonal sikkerhet eller HMS, vil aktivitetene som gjennomføres for å ha styring og kontroll være ganske like. De som jobber helhetlig, tar utgangspunkt i den samme strukturen når de bygger styring og kontroll på ulike områder. Om denne styringen omtales som styringssystem, internkontroll, sikkerhetsstyring eller noe annet er av mindre betydning. Målet er å oppnå god styring og kontroll, og tilstrekkelig eller forsvarlig sikkerhet.

Det finnes mange rammeverk for internkontrollsystemer, som ISO 27001 og NIST. ISO/IEC 27001 er den anbefalte anerkjente standarden å basere seg på, og vårt veiledningsmateriale baserer seg på denne, men vi har forsøkt å konkretisere hvordan kravene kan etterleves. Et internkontrollsystem er et verktøy for virksomheten for å sikre at de gjør det de skal gjøre – som innen informasjonssikkerhet. Det er et verktøy som må tilpasses virksomhetens behov og risikobilde.

Lovverket

Det er flere lovverk som sier noe om hvilke krav som stilles til intern kontroll i offentlig forvaltning. Det stilles krav til at intern kontroll på informasjonssikkerhetsområdet baserer seg på internasjonale standarder for styringssystem for informasjonssikkerhet i eForvaltningsforskriften. Her står det at det bør være «en integrert del av virksomhetens helhetlige styringssystem. (…)».

Kommuneloven § 25-1 sier at kommuner og fylkeskommuner skal ha intern kontroll med administrasjonens virksomhet for å sikre at lover og forskrifter følges. (...). Og bestemmelser om økonomistyring i staten sier at alle virksomheter skal etablere internkontroll. Virksomhetens ledelse har ansvaret for å påse at internkontrollen er tilpasset risiko og vesentlighet. Felles for alle er at de stiller krav til at det skal være etablert internkontroll.

Felles for alle er at de stiller krav til at det skal være etablert internkontroll.

Så har vi personopplysningsloven og personvernforskriften som omfatter alle virksomheter i både offentlig og privat sektor. Videre er det sektorspesifikke regelverk, og for alle som forvalter Nasjonale Sikkerhetsinteresser gjelder sikkerhetsloven. Den omhandler tilsiktede handlinger med konsekvenser for nasjonale sikkerhetsinteresser.

Hva handler informasjonssikkerhet om?

Hva vil informasjonssikkerhet si? Vi kan begynne med å dele opp begrepet. En standard definisjon sier at informasjon består av velformede data som gir mening. Mens sikkerhet handler om å beskytte verdier mot skade. Informasjonssikkerhet handler altså om å beskytte informasjon, og innen dette fagfeltet opererer vi med det vi kaller for K-I-T prinsippene.

Det er vanlig å si at det handler om å sikre at informasjon i alle former:

  • ikke blir kjent for uvedkommende (konfidensialitet)
  • ikke blir endret utilsiktet eller av uvedkommende (integritet)
  • er tilgjengelig ved behov (tilgjengelighet)

Det er kanskje konfidensialitet folk først og fremst tenker på i forbindelse med informasjonssikkerhet. Alle virksomheter har informasjon som de har behov for å beskytte, det kan være interne prosedyrer, sykemeldinger eller personopplysninger i søknader.

Integritet kan ha ulik betydning etter hvilken kontekst det brukes i, men det er særlig to typer integritet som er sentrale for informasjonssikkerhet, dataintegritet og systemintegritet.

Alle virksomheter har oppgaver og tjenester som skal utføres, og som krever et system for innsamling, lagring, behandling, overføring og presentasjon av informasjon.

Informasjonsbehandling inngår i alle oppgaver og tjenester – fra saksbehandling til vannforsyning.

Vi sier at informasjon behandles i samspill mellom mennesker, prosesser og teknologi, og det er viktig å ikke glemme det fysiske aspektet. Dette innebærer at man ikke deler sensitiv informasjon over telefonen på bussen, eller at man mangler tiltak som adgangskontroll til et kontorbygg.

Informasjonssikkerhet handler om å styre risiko for informasjonsbehandlingen / eller ved bruk av informasjonssystemer i oppgaveløsningen.

Styringsaktiviteter er veien til god styring og kontroll

Veilederen er bygget opp rundt aktiviteter. Figuren nedenfor viser styringsaktivitetene som bør gjennomføres av ulike aktører rundt omkring i virksomheten – hver av disse hovedaktivitetene består av flere delaktiviteter. Hvis arbeidet er nytt for virksomheten har vi også annen veiledning, «Stifinneren» som beskriver etableringsaktiviteter. Dette er støtteaktiviteter under etablering og forbedring av internkontroll.

Styringsaktivitetene er ledelsesstyrte aktiviteter for å gi føringer for hvordan arbeidet skal foregå i virksomheten, hvordan de skal prioritere arbeidet, utrede behov, beslutte bruk av ressurser, undersøke om arbeidet er effektivt, holde oversikt og ha tilstrekkelig styringsinformasjon.

Ledelsens styring og oppfølging

Denne hovedaktiviteten omfatter ledelsens ansvar for å sørge for å følge med på, følge opp og vedlikeholde alle de styringsaktivitetene som inngår i intern kontrollen. Det er ledelsen som er ansvarlig for å nå virksomhetens mål, og som er avhengig av god styring og kontroll.

Det er ledelsen som er ansvarlig for å nå virksomhetens mål, og som er avhengig av god styring og kontroll.

Ledelsen skal også sikre tilstrekkelige ressurser til å kunne etterleve føringene som er gitt. For å få en effektiv og god gjennomføring av styringsaktivitetene, må ansvaret for delaktivitetene delegeres og følges opp på en hensiktsmessig og tydelig måte i hele virksomheten.

Ledelsens viktigste rolle her er å:

  • Gjennomføre nødvendige etableringsaktiviteter
  • Gi overordnede føringer for det kontinuerlige arbeidet
  • Sikre tilstrekkelige ressurser
  • Følge opp etterlevelse av føringer

Vurdering av risiko

Risiko for informasjonssikkerhetsbrudd må identifiseres, analyseres og evalueres. Vurdering av risiko må gjennomføres i tilstrekkelig omfang og på hensiktsmessig detaljnivå. Det er først og fremst linjeleders ansvar å ha tilstrekkelig oversikt og vurdere risiko innenfor sitt ansvarsområde. Det vil si at den som er mål- og resultatansvarlig leder = risikoeier.

For at en risikoeier skal kunne arbeide effektivt med informasjonssikkerhet på sitt ansvarsområde, må vedkommende ha god oversikt over hvilke oppgaver og tjenester som utføres, og informasjonsbehandlingen i disse. En mekanisme som vil bidra til effektivitet vil i første omgang være å vurdere behov av en risikovurdering. Dette vil bidra til å kunne identifisere, analysere og evaluere risikoen som angår informasjonssikkerhet. Det må skje på et tilstrekkelig og hensiktsmessig detaljnivå for virksomheten, men vurderingene kan gjelde:

  • Hele virksomheten på strategisk nivå
  • Enkelte oppgaver eller tjenester
  • Spesifikke informasjonssystemer eller deler av disse

Vurdering av risiko er som aktivitet inndelt i to hoveddeler:

  1. Aktiviteter som gjennomføres for å ha oversikt over eget ansvarsområdet, prioritere ressursbruk og vurdere behov for grundigere risikovurdering. Dette kalles foranalyse.
  2. Planlegge og gjennomføre risikovurdering. Dette gir ledelsen informasjon om hvilke risikoelementer som er så store at de må håndteres.

Andre situasjoner der det er nødvendig med risikovurderinger kan for eksempel være etter hendelser og ved anskaffelser og utvikling.

Håndtering av risiko

Neste steg etter aktiviteten «vurdering av risiko» er å gjennomføre besluttede tiltak og evaluere effekten av dem. Håndtering av risiko må være basert på velbegrunnede beslutninger. Videre skal besluttede tiltak gjennomføres og effekten av dem evalueres. Tiltak kan være engangs, eller innføring av nye, kontinuerlige prosesser.

Sikkerhetstiltak skal redusere risiko ved enten å redusere sannsynligheten for at en hendelse inntreffer, eller konsekvensen dersom den gjør det.

Det er fire prinsipper for å håndtere risiko:

  • Redusere (gjennomføre tiltak)
  • Unngå (ikke utføre oppgaven)
  • Dele (forsikring)
  • Akseptere (når tiltak ikke kan gjennomføres, og oppgaven må utføres)

Risikoeier må ta stilling til tiltakene som er foreslått i risikovurderingen. Basert på grad av beslutningsmyndighet er det denne personen som skal godkjenne arbeidsgruppas forslag til risikohåndtering, og sikre at tiltak blir gjennomført. Tiltaksleverandører (kan være både interne og eksterne) skal utforme og implementere tiltakene.

Fellessikring og tilleggssikring

I teorien skal det være en sammenheng mellom alle risikoer som behandles og de tiltak som etableres for å håndtere dem. I praksis vil det imidlertid bli for mye administrasjon og for kostbart.

En virksomhet kan ha et felles grunnleggende sikkerhetsnivå for hele, eller sentrale områder i virksomheten. Vi kaller det virksomhetens fellessikring. Man oppnår en rekke fordeler med å etablere et slikt felles grunnleggende nivå av sikkerhet:

  • felles forståelse av hvilke grunnleggende sikkerhetstiltak som er etablert i virksomheten
  • trygghet for at informasjonsbehandling har et visst grunnleggende sikkerhetsnivå
  • bedre oversikt over etablerte sikkerhetstiltak
  • en grunnmur som ekstra sikkerhetstiltak kan legges til, der det er spesielle behov

Sikkerhetstiltak som legges på toppen av fellessikringen kaller vi tilleggssikring. Basert på vurdering av risiko vil risikoeier kunne beslutte å etablere sikkerhetstiltak for sine oppgaver og informasjonssystemer som ikke inngår i virksomhetens fellessikring.

Overvåkning og hendelseshåndtering

Denne aktiviteten handler om evne til å oppdage og håndtere informasjonssikkerhetshendelser. Et godt implementert avvikssystem kan bidra med god statistikk til hvor og når avvik skjer. I avvikshåndtering inngår det ofte en liten risikovurdering, som bidrar til å klassifisere alvorlighetsgraden av hendelsen, og resultater fra avviksbehandling kan gi grunnlag for vurdering av behov for risikovurderinger på bestemte områder.

Alle ansatte i virksomheten har ansvar for å rapportere hendelser, avvik og informasjonssikkerhetsbrudd, også mulige brudd. Avviksmeldinger går ofte direkte til nærmeste leder, som er ansvarlig for å behandle eller delegere behandling av hendelsen. Det bør/skal alltid gjennomføres en årsaksanalyse. Denne bør være grundig nok til å identifisere årsaken til at hendelsen oppstod.

På samme måte som for handlingsplan etter «ledelsens gjennomgang» og etter risikovurderinger, kan det etter hendelser opprettes tiltak (korrigerende og forebyggende) med tiltaksansvarlige:

  • Korrigerende: retter feilen her og nå
  • Forebyggende: retter årsaken til avviket og hindrer gjentakelse

Tiltaksleverandører vil ofte ha ansvar for å overvåke effekt av gjennomførte tiltak, i henhold til avtale. Krav i en slik avtale bør utformes etter behov, kostnader og størrelsen på risiko når aktuell feil oppstår.

Måling, evaluering og revisjon

Formålet med denne styringsaktiviteten er at ledere på alle nivå skal få en bedre kunnskap om tilstanden på sitt ansvarsområde. Hensikten med måling er å teste om tiltak fungerer og pålegg blir etterlevd, om styringsaktivitetene fungerer og lar seg gjennomføre med fornuftig ressursbruk. Aktiviteten må gjennomføres ved etablering og bruk av tiltak. Denne kunnskapen vil kunne brukes i evalueringer og revisjoner.

Evaluering og revisjon er ikke like morsomt som avviksbehandling, men gir god informasjon om for eksempel effekt av tiltak, og om prosedyrer og policyer er hensiktsmessige og blir fulgt av ansatte. Det er en mulighet for ledelsen til å få avdekket mulige kilder til feil og hendelser, og dermed forebygge informasjonssikkerhetsbrudd. Omfanget av en statusvurdering kan variere og avhenger av hvor god oversikt man har over aktuelt område.

Hvor hyppig et område i virksomheten har behov for revisjon eller evaluering avhenger av oppgavens/tjenestens kritikalitet.

Delaktiviteter inkluderer:

  • Analyse av status på internkontrollområdet informasjonssikkerhet generelt
  • Gjennomføring av lovpålagte eller avtalte systemgjennomganger
  • Vurdere status på eget område

Aktiviteten kan utføres av interne eller eksterne fagmiljøer. Intern revisjon må gjennomføres av en person med tilstrekkelig erfaring fra området, og med tilstrekkelig objektiv avstand til feltet som skal revideres. Aktiviteten gir en formell vurdering om virksomheten følger bestemte krav: egne krav, lovkrav, krav i standard (27001).

Kompetanse- og kulturutvikling

Tilstrekkelig kompetanse og en god sikkerhetskultur er nødvendig for at styring av informasjonssikkerhet skal fungere, men i en virksomhet er det mange ulike oppgaver og perspektiver det skal ta hensyn til. Men til tross for ulike interessefelt og kompetanse hos de ansatte, er det viktig at de ulike rollene har nødvendig kunnskap og viten om hvorfor informasjonssikkerhet er viktig, og en grunnleggende forståelse for hva det handler om.

Ansatte må kunne utføre sine daglige oppgaver på en måte som tar hånd om behovet for informasjonssikkerhet, men hvordan komme seg dit? Vi mener man må se på det som en kontinuerlig aktivitet og prosess, hvor igjen det er ledelsen som må ta stilling til om man har behov for kompetanseheving.

Å sørge for tilstrekkelig opplæring, kulturutvikling og informasjon er tiltak for å redusere risiko.

Å sørge for tilstrekkelig opplæring, kulturutvikling og informasjon er tiltak for å redusere risiko. De viktigste aktivitetene her vil være å identifisere behov løpende og følge dette opp systematisk. På våre nettsider, har vi egen veiledning om hvordan jobbe med kompetanse og kulturutvikling, her kan du blant annet finne kompetansebeskrivelser, dilemmatrening og et E-læringskurs rettet mot ledere.

Kommunikasjon

God kommunikasjon som legger til rette for læring, er essensielt for hendelseshåndtering, og er det som gjør en virksomhet i stand til å jobbe samlet med informasjonssikkerheten. Dokumentasjon er en viktig del av dette, og virksomheten må ha tydelige føringer for hvordan kommunikasjon og dokumentasjon skal foregå.

Vi anbefaler at krav til dokumentasjon bestemmes og tydeliggjøres delvis gjennom virksomhetsledelsens føringer for roller og ansvar i styringen av informasjonssikkerhet.

Virksomheten bør ha en risikobasert og behovsorientert dokumentasjon, som samtidig skjer innenfor et tydelig, felles dokumentasjonsrammeverk.

God kommunikasjon er også helt essensielt for hendelseshåndtering, spesielt under store, pågående hendelser. Virksomheten må derfor ha en strategi for både intern og ekstern kommunikasjon, både i kriser og i normale tider.

Oppsummering

Våre anbefalte styringsaktiviteter i veiledningen "Internkontroll i praksis - Informasjonssikkerhet" utgjør et omfattende rammeverk for organisasjoner og virksomheter som søker å styrke sin informasjonssikkerhet. Gjennom søkelys på risikovurdering, praktiske sikkerhetstiltak, respons på hendelser, opplæring og bevisstgjøring, samt ledelsesengasjement, gir veiledningen et verdifullt verktøysett for å håndtere utfordringene knyttet til den stadig økte digitalisering av oppgaver og informasjonsbehandling som finner sted i virksomhetene.

Implementeringen av disse styringsaktivitetene kan bidra til å skape en robust og proaktiv tilnærming til informasjonssikkerhet i organisasjoner.

Note:

1. Sammenhengen mellom risikostyring og internkontroll (DFØ)

    __________________________________________

    Jobber du i det offentlige og har en interesse for informasjonssikkerhet?

    Meld deg inn i NIFS – Nettverk for informasjonssikkerhet. Digitaliseringsdirektoratet administrerer nettverket for informasjonssikkerhet for offentlige ansatte. Målsettingen med nettverket er å dele erfaringer om arbeid med informasjonssikkerhet på tvers av offentlige virksomheter.

    Kontakt oss for medlemskap: infosikkerhet@digdir.no.



    ________________________________________

    Hanna Bjerkaker Skåden er rådgiver i Digitaliseringsdirektoratet, i Statens Kompetansemiljø for Informasjonssikkerhet. Hun har statsvitenskapelig bakgrunn fra Universitetet i Oslo, med fordypning i sikkerhets- og forsvarsstudier. Før Digdir har hun blant annet vært innom Flyktninghjelpen, UNE og vært deltager på Civita Akademiet.

    Statens kompetansemiljø for informasjonssikkerhet hos Digitaliseringsdirektoratet (Digdir) arbeider for en styrket og helhetlig tilnærming til informasjonssikkerhet i offentlig forvaltning, og skal være samordner av og pådriver for dette arbeidet. Kompetansemiljøet ble opprinnelig etablert i Direktoratet for forvaltning og ikt (Difi) i 2013 og ble senere flyttet til Digdir etter en sammenslåing med Altinn, deler av fagmiljøet for informasjonsforvaltning i Brreg og avdelinger fra tidligere Direktoratet for forvaltning og ikt (Difi).

    Lenke til kontroll & revisjon nr. 1/2024:

    https://www.nkrf.no/kontroll-og-revisjon/2024/1

    Denne artikkelen ble publisert i kontroll & revisjon nr. 1/2024