I en verden stadig mer drevet av digital teknologi, blir informasjonssikkerhet et kritisk område for enhver organisasjons styre. Med økende trusler om datainnbrudd og cyberangrep, er det essensielt at styret ikke bare forstår risikoen, men også aktivt bidrar til å forme organisasjonens informasjonssikkerhetsstrategi.
I denne artikkelen redegjør Svein Bekkevold for hvorfor styret bør fokusere mer på informasjonssikkerhet.
Hvorfor?
Styrets økte fokus på informasjonssikkerhet er kritisk for enhver organisasjon av flere grunner, spesielt med tanke på konkurransedyktighet, bærekraft, virksomhetsstyring, regulatoriske krav og bøter.
- Konkurransedyktighet: I en økende digitalisert verden, er organisasjoner som kan demonstrere robust informasjonssikkerhet mer attraktive for kunder og partnere. Dette er ikke bare et spørsmål om å unngå bøter eller overholde lovgivning; det handler også om å bygge tillit og opprettholde et godt omdømme. En sterk sikkerhetsprofil kan være en konkurransefordel i dagens marked.
- Bærekraft og Langsiktig Overlevelse: Informasjonssikkerhet er avgjørende for organisasjonens bærekraft og langsiktige overlevelse. Datainnbrudd og sikkerhetsbrudd kan føre til alvorlig skade på en organisasjons omdømme, kundetillit og til og med dens økonomiske levedyktighet. Et sterkt fokus på informasjonssikkerhet sikrer at organisasjonen kan beskytte sin verdifulle informasjon og fortsette sin virksomhet på en trygg måte.
- God Virksomhetsstyring: Et sterkt fokus på informasjonssikkerhet er en viktig del av god virksomhetsstyring. Styret må forstå risikoen knyttet til informasjonssikkerhet og sikre at organisasjonen har tilstrekkelige sikkerhetstiltak og prosedyrer på plass. Dette inkluderer regelmessig risikovurdering, implementering av effektive sikkerhetspolicyer og å sikre at det finnes tilstrekkelige ressurser til å håndtere sikkerhetsutfordringer.
- Regulatoriske Krav: Organisasjoner over hele verden står overfor stadig strengere lovgivning om datasikkerhet og personvern, som GDPR i Europa og nasjonale lover som Digitalsikkerhetsloven. Styret har et ansvar for å sikre at organisasjonen etterlever disse kravene for å unngå juridiske komplikasjoner og sanksjoner.
- Risiko for Bøter: Manglende overholdelse av datasikkerhetsreguleringer kan resultere i betydelige bøter. For eksempel kan GDPR-bøter nå opptil 4% av den globale årsomsetningen eller 20 millioner euro, avhengig av hvilket beløp som er høyest. Styret må sørge for at organisasjonen ikke bare forstår disse risikoene, men også tar de nødvendige skrittene for å minimere dem
I lys av disse faktorene, er det avgjørende for styret å ta en aktiv og informert rolle i organisasjonens informasjonssikkerhetsstrategi. Dette involverer regelmessige diskusjoner om sikkerhetsrisikoer, overvåkning av overholdelse av lovgivning, og investering i riktige teknologier og prosesser for å beskytte organisasjonens verdier og omdømme.
Hvordan?
Hvordan kan styret stille gode og spesifikke krav til organisasjonen, og sørge for etterlevelse av lover og regelverk?
Bruk anbefalingene fra Norges autoritative kilder herunder Nasjonal sikkerhetsmyndighet, Datatilsynet, Digdir, NVE m.fl.
Disse kildene peker på det samme.
- Implementer et styringssystem for informasjonssikkerhet basert på ISO/IEC 27001
- Implementer et styringssystem for risiko basert på ISO/IEC 27005
- Implementer sikkerhetstiltak basert på en tiltaksbank som: ISO27002, CIS Controls eller NIST SP 800-53
Hvis man følger disse tre stegene, vil man svare ut det meste av kravene som følger med nye og gamle lovgivninger til beskyttelse av informasjon.