Tre abstrakte menneskesilhuetter på en nordisk fjellrygg — én holder et skjold med asurblå kjerne (informasjonsbeskyttelse), én speider horisonten med hånden for øynene (trusselbevissthet), én står i rolig årvåkenhet (resiliens)

Informasjonssikkerhet

ISO 27001, DORA, NIS2, NSM Grunnprinsipper — listen over krav blir lengre. Men sikkerhet sitter ikke i systemene. Det sitter i kulturen.

Innholdsfortegnelse

Informasjonssikkerhet er et ledelsesproblem

ISO 27001, DORA, NIS2, NORMEN, NSM Grunnprinsipper, GDPR — listen over krav til informasjonssikkerhet blir lengre for hvert år. Mange virksomheter oppfyller kravene på papiret, men oppdager for sent at sikkerhetskulturen ikke sitter i veggene.

Problemet er at informasjonssikkerhet nesten alltid blir behandlet som et IT-problem. Det er forståelig — teknologien er komplisert, trusselbildet endrer seg raskt, og det er fristende å delegere ansvaret til en cybersikkerhetsansvarlig eller IT-avdelingen.

Men de fleste sikkerhetsbrudd skyldes ikke teknologiske sårbarheter. De skyldes menneskelige faktorer: noen som ikke turte å si ifra, en leder som overstyrte en sikkerhetsrådgivning, en kultur der «det har gått bra så langt» ble brukt som argument for å la være.

Fire perspektiver — fire sikkerhetsdimensjoner

Bolman & Deals fire perspektiver på ledelse utgjør rammeverket for alt vi gjør. Hvert perspektiv avslører en dimensjon av informasjonssikkerhet som ofte overses:

Struktur: Uklare roller for informasjonseierskap. Hvem har ansvar for hvilke data — og vet de om det? Uten tydelig ansvarsfordeling blir sikkerhet noe «alle» har ansvar for, som i praksis betyr ingen.
Mennesker: Frykt for å melde fra om avvik. Hvis ansatte straffes for å si ifra, vil de slutte å si ifra. Psykologisk trygghet er ikke en myk verdi — det er en sikkerhetsmekanisme.
Påvirkning: Ledere som overstyrer sikkerhetsråd. «Vi tar sjansen denne gangen» er en beslutning som tas av noen med makt, ikke nødvendigvis av noen med risikoansvar. Makt uten motvekt er en sikkerhetsrisiko.
Identitet: «Vi har aldri blitt hacket»-tenkning. En organisasjon som ser på seg selv som usårbar, investerer ikke i forebygging. Den våkner først når det er for sent.

Les mer om GRC og hvordan de fire perspektivene henger sammen →

Cyberresiliens — mer enn forebygging

De fleste organisasjoner fokuserer på å forhindre cyberangrep. Det er fornuftig, men ikke tilstrekkelig. Cyberresiliens handler om evnen til å oppdage, respondere på og gjenopprette etter et angrep — ikke bare om å forhindre at det skjer.

Dette er en ledelsesegenskap, ikke en teknisk kapabilitet. En resilient organisasjon har:

Tydelige roller og ansvar for sikkerhetshendelser, kjent av hele organisasjonen
En kultur der det å melde fra om hendelser belønnes, ikke straffes
Øvelse på scenarioer — ikke bare papirøvelser, men reelle bordøvelser i ledergruppen
Evne til å lære av hendelser uten å skylde på enkeltpersoner

Forskjellen mellom en organisasjon som overlever et cyberangrep og en som knekker, er sjelden teknologien. Det er ledelsens evne til å handle raskt, kommunisere ærlig og lære av det som skjedde.

Veien videre

For ledergrupper som ønsker å ta informasjonssikkerhet på alvor, er første steg en ærlig vurdering av hvor dere faktisk står. Ikke hvilke sertifiseringer dere har, eller hvilke systemer dere har kjøpt inn — men hvordan sikkerhetskulturen faktisk fungerer i praksis.

Les også: Usikkerhetshåndtering henger tett sammen med informasjonssikkerhet →

Ledelse 60:2 gir dere et verktøy for å kartlegge dette på to timer.

Les mer om Ledelse 60:2 →

Spørsmål for å teste informasjonssikkerhetskulturen

Hvem i organisasjonen har reelt ansvar for informasjonssikkerhet — og vet de at de har det?
Når ble siste gang noen meldte fra om et sikkerhetsavvik — og hva skjedde med den som meldte?
Hvordan prioriterer ledergruppen mellom sikkerhet og produksjon når det oppstår en konflikt?
Finnes det systemer eller data dere vet er sårbare, men ikke har gjort noe med fordi «det har gått bra så langt»?
Hva ville skjedd hvis dere ble utsatt for et alvorlig cyberangrep i morgen — ville dere oppdaget det?

Få kartlagt ledergruppens sikkerhetskultur

Ledelse 60:2 kartlegger de fire perspektivene på ledelse på to timer — og avdekker hvor sikkerhetskulturen faktisk svikter. Bestill en uforpliktende samtale for å lære mer.

Bestill uforpliktende samtale Les mer om Ledelse 60:2 →