Du skal have ansvar og involvere dig i sikkerhed især, hvis du er leder, fordi sikkerhed betyder noget for borgerne, for jeres digitaliseringsmuligheder og fordi cyberangreb og sikkerhedshændelser er begyndt at ske for alle slags virksomheder.
IT-sikkerhedsstafetten
Flere tilfælde af hackerangreb på offentlige kernesystemer og Rigsrevisionens meget kritiske rapport i efteråret 2013 bør afføde en vigtig debat om IT-sikkerhed i Danmark.
Den totale digitalisering af al kommunikation mellem borgere, erhverv og offentlige instanser medfører mange udfordringer. Dem søger IT-stafetten på DenOffentlige.dk at adressere.
Læs alle indlæggene i IT-sikkerhedsstafetten her.
Politiet, Nets, IBM, Terma, Novozymes, Patent og Varemærkestyrelsen, Søfartsstyrelsen, Erhvervs- og Vækstministeriet m.fl er eksempler på virksomheder i Danmark, som man forventede eller håbede var bedre beskyttet, end de faktisk var. Cyberangreb i dag er avancerede og vanskeligere at beskytte sig imod end tidligere. It-sikkerhed er i den grad kommet på dagsordenen i 2014 både i virksomheder og medier. Borgerne - den offentlige sektors “kunder” - interesserer sig nu for emnet. Men der er flere gode grunde til at du som leder i det offentlige skal interessere dig for, om jeres organisation er godt nok forberedt på et større cyberangreb eller et nedbrud:
Tillid og image: Borgerne har krav på vished om at i behandler deres oplysninger på tryg og forsvarlig vis. I ønsker at borgerne kan have tillid til jer. I har måske brugt årevis på langsom, men sikker opbygning af troværdigheden af jeres organisation. En sikkerhedshændelse kan på kort tid reducere den troværdighed, den tillid, i har opbygget, i et omfang så selv de bedste image-kampagner ikke vil kunne rette op på det.
Udgifter: Læg hertil, at det kan koste enorme summer at håndtere et stort sikkerhedsbrud, både undervejs i hændelsen, og i efterfølgende efterforskning og oprydning. Tyveri af fortrolige data eller personoplysninger, især af følsom karakter, som mange offentlige virksomheder ligger inde med, kan selvsagt være dyrt. Efterfølgende vil det sikkert vise sig at flere forebyggende investeringer i sikkerhed giver god mening, også økonomisk.
Lovgivning: Endnu en god grund: Der er lovmæssige krav til jer, om at I skal have god nok it-sikkerhed. Tænk bare på den nuværende og kommende persondatalov. I den kommende EU persondatalov (en forordning), der forventes at blive vedtaget så den gælder i alle EU-lande, skal virksomheder betale bøder for databrud. Der er krav om, at alle berørte parter adviseres (Data breach notification), hvilket både er dyrt og vanskeligt at udføre. Endvidere skal statslige virksomheder følge ISO 27001-standarden. KL anbefaler, at kommunerne følger samme standard.
Revision: Du tilstræber nok også at rigsrevisionen eller jeres revision bliver tilfreds med det meste, der måtte stå på deres lange revisionsvejledninger. Jeres it-sikkerhed bliver jo også revideret, så det skal være nemt for jer at dokumentere, at I har styr på jeres informationssikkerhed.
Men hvad skal du som leder foretage dig, udover at interessere dig for emnet? Det er enkelt: Informationssikkerhed bør starte hos ledelsen, så du skal kommunikere i din organisation, at sikkerhed er vigtigt, at det er en forudsætning for jeres digitalisering og forretningsaktiviteter. Og du skal undersøge, om I har afsat tilstrækkelige økonomiske og menneskelige ressourcer i jeres organisation, til at håndtere den daglige, praktiske styring af jeres informationssikkerhed. Du deltager i risikostyringen, ved at forholde dig til relevante risici. Netop fordi du er leder.
Det kan du gøre lige nu
Hvis du selv vil stikke et spadestik dybere, anbefaler jeg at undersøge jeres modenhed på disse områder:
1. Politikker, regler, procedurer og dokumentation. Følger i almindelig god skik og gør I, som I skriver?
2. Risikostyring (dvs løbende risikovurderinger og løbende risikohåndtering). Undersøg evt. jeres modenhed i forhold til denne skydeskive her
3. Hændelseshåndtering og beredskabsplaner. Er i godt nok forberedt på angreb og uheld?
Ordentlig governance og styring af informationssikkerhed er blevet helt almindelig god skik, simpelthen fordi det er blevet en forudsætning for de fleste virksomheders aktiviteter. De forhold jeg har remset op i dette blog-indlæg hører naturligt til på ledelsens bord. Derfor skal en ledelse i det offentlige ikke bare interessere sig for informationssikkerhed, men også have det overordnede ansvar. Borgerne forventer det med rette.
Stafetten går til
Jeg vil gerne sende stafetten videre til Jakob Joensen, Chef it-sikkerhedsleder i Københavns Kommune. Jeg kunne tænke mig at høre Jakobs og Kommunens holdning til Risici ved samarbejdspartnere?