Bayswater er et populært område å bo for nordmenn når vi reiser til London. Dette er et av byens nabolag med høyest konsentrasjon av hoteller. Hotellene i området ligger i pene gater, og bebyggelsen er dominert av viktoriansk stil; flotte fasader, gjerne hvitkalket, søyler ved inngangspartiet, store vinduer og utsmykninger langs karmene. Hva har dette med ditt styringssystem for informasjonssikkerhet å gjøre? 

 

I en artikkel skrevet av forskeren Bendik Bygstad[1] ble uttrykket Bayswater Hotel Syndrome (BHS) brukt som en metafor for å beskrive en situasjon med en imponerende fasade, men en rotete bakgård. Hotellfasadene i Bayswater med Victoriansk stil med søyler og dekorerte inngangspartier gir et helt annet uttrykk fra gaten, enn utsikten du får fra hotellrommet og ned i de rotete i bakgårdene.

 

Så hva har hotellnabolaget Bayswater til felles med din virksomhets styringssystem for informasjonssikkerhet?

Bayswater Hotel Syndromet er lett overførbart til mange virksomheters styringssystem for informasjonssikkerhet; Virksomhetene har informasjonssikkerhet på agendaen og så lenge det ikke er noen større informasjonssikkerhets hendelser går det greit, men hva er svakhetene?

I 23 -24 Leinster Gardens i Bayswater finner man ett av Londons falske hus. Ved første øyekast ser alt pent og riktig ut. Går du raskt forbi, vil du ikke merke at vinduene er malt grå, at dørene ikke er ekte, men kun en fasade. Fasaden på huset går i ett med resten av nabolaget og skiller seg egentlig ikke ut på noen måte. Men går du nærmere og ser bak fasaden er det hverken noe hus, eller hotell.

Dette kunne vært en metafor for virksomheter som har etablert et styringssystem for informasjonssikkerhet, men der informasjonssikkerhet ikke er integrert i den daglige driften.

Fasade

Foto: 23 -24 Leinster Gardens i Bayswater, London

 

Ikke la det bli en falsk trygghet 

Å ha et styringssystem for informasjonssikkerhet betyr ikke nødvendigvis at det jobbes helhetlig med blant annet, risikovurderinger, håndtering av risiko, hendelseshåndtering, evaluering, revisjon, kompetanse- og kultur i virksomheten.

Det kan være flere årsaker til at en virksomhet ikke jobber systematisk med informasjonssikkerhet. Det kan blant annet skyldes at det er uoversiktlig, mangel på ressurser, det kommer i «veien» for kjerneoppgavene, det tas ikke på alvor av ledelsen som igjen smitter over på de ansatte.

Et styringssystem for informasjonssikkerhet som ikke brukes, gir en falsk trygghet. Det er ikke tilstrekkelig å kun etablere retningslinjer, policyer, styringsparameter. Det må også inkluderes i de daglige kjerneoppgavene for virksomheten.

Det er antagelig flere virksomheter som kan kjenne seg igjen i at arbeidet med informasjonssikkerhet i virksomheten kan bedres. Uansett hvor din virksomhet befinner seg er det viktig å sikre minst mulig rot i bakgården. Noe av ryddingen kan man ta tak i selv, mens annet kan det være hensiktsmessig å få hjelp med.

 

Her er noen raske sjekkpunkter å tenke igjennom.

  • Tar virksomhetens leder ansvaret med å styre risiko for informasjonssikkerhet? 
  • Inkluderes informasjonssikkerheten i virksomhetsstyringen? 
  • Revideres styringssystemet for informasjonssikkerhet kontinuerlig?
  • Er det kultur i virksomheten for å melde om eventuelle avvik og potensielle forbedringstiltak?
  • Lever styringssystemet for informasjonssikkerhet sitt eget liv uten bindeledd med sikkerhetstiltakene?

 

[1] Planning or improving? An exploration into the Bayswater Hotel syndrome in IS development and Implemantation