Informasjonssikkerhet – er det viktig da?

Riksrevisor Jørgen Kosmo kritiserte tidligere i år en rekke departementer og underliggende etater for deres manglende styring med informasjonssikkerhet. Ett av argumentene riksrevisor Kosmo bruker for hvorfor Riksrevisjonen fokuserer på informasjonssikkerhet i offentlig sektor, er at det er bærebjelken i folkedemokratiet. Dette er imidlertid like relevant i privat sektor. Et universelt eksempel på dette finner vi i Maslows behovspyramide. Grunnleggende eksistensielle behov som næring og sikkerhet må ligge i bunnen for at både mennesket og virksomheter skal utvikle seg og vokse over tid.

Riksrevisor har rettet fokuset på dette området innen offentlig sektor og gitt tilbakemelding til Stortinget. Er det på tide at styret og ledelsen i alle selskaper også etterspør status på informasjonssikkerheten i sin virksomhet? Det bør nemlig være et varsko når undersøkelser som Kriminalitets og sikkerhetsundersøkelsen i Norge (KRISINO 2009)[1] viser at 76 prosent av norske virksomheter ikke gjennomfører risikovurderinger mot kriminelle handlinger skriftlig. Det forteller meg at mange ikke har den oversikten de bør ha over sine verdier, trusler og sårbarheter.

Mange kilder påstår dessuten at verden har blitt så mye farligere. Jeg deler ikke dette synet. Verden har alltid vært farlig og det har alltid vært et kappløp om nye måter å angripe og å forsvare seg på. Det som er mer riktig å si er at verden har blitt mer kompleks, og at vi i dag ikke kan forutse alle måter komplekse systemer kan feile på. Ulykker og hendelser er det normale. Det er faktisk unormalt om ingenting skjer.

Ha ingen illusjoner om noe annet. Informasjonssikkerhet koster, men det gjør også kompromitteringer eller manglende tilgjengelighet. I disse Wikileaks-tider er det mange som opplever det. Når det er sagt. De færreste virksomheter trenger maksimal sikkerhet, og det finnes ikke én måte å sikre seg på – alle virksomheter er unike og løsningene må derfor skreddersys i hvert enkelt tilfelle. Det betyr ikke at vi må starte fra bunnen hver gang, men at skreddermålene må tilpasses behovet. Men dette krever en mer systematisk og bevisst tilnærming til informasjonssikkerhet enn hva mange virksomheter legger til grunn i dag.

Et forhold riksrevisor og direktøren for Nasjonal sikkerhetsmyndighet også påpeker er at sikkerhet er et lederansvar. En leder er allikevel ikke bedre enn hva de ansatte gjør vedkommende. En av de viktigste beslutningene blir derfor hvem som velges til å være sikkerhetsansvarlig eller –rådgiver. Slurv eller dårlig bestillerkompetanse rundt ansettelser, manglende vurderinger, dårlig organisering, manglende opplæring eller verktøy vil ha konsekvenser for hvordan oppgaven løses eller ikke adresseres. Krevende og komplekse oppgaver krever for eksempel ansatte med akademisk utdanning og praktisk erfaring innen faget vedkommende utøver.

Som rådgiver og utøver av sikkerhet gjennom mange år har jeg over tid sett at mange fagområder innen en virksomhet har utviklet seg mye. Jeg har dessverre ikke den samme oppfatningen av sikkerhetsavdelinger. En av årsakene kan være manglende bestillerkompetanse hos arbeidsgiver eller oppdragsgiver. Jeg opplever tilstadig at virksomheter ansetter personer i viktige posisjoner innen sikkerhet uten annen erfaring enn fra politi og forsvar. Om disse ikke har tilleggsutdannelse innen sikkerhetsfaget er dette like lurt som å ansette en økonomisjef hvis eneste erfaring er forvaltningen av sin egen personlige økonomi. Vi finner ikke mange av dem i offentlige og private virksomheter i dag. Hvorfor skal det være annerledes for en sikkerhetssjef eller –rådgiver?

De viktige spørsmålene som virksomhetens leder bør spørre seg selv og sine sikkerhetsrådgivere er i grunn få og grunnleggende enkle: Hva skal sikkerhet være hos oss, hvordan oppnår vi det og hvordan vet vi at vi har det? Om virksomheten ikke klarer å svare på dette er det etter min mening et tegn på at noe er galt.

NOTER

(1) Utført av Næringslivets sikkerhetsråd (NSR)

Artikkelen ble første gang publisert i bladet Kapital, desember 2010.