.svg "logo-habberstad (1)"){kind=logo}
For å kunne respondere raskt på endringer i trusselbildet, må du ha god oversikt over hvilke sikkerhetstiltak du allerede har på plass.
Fra tid til annen dukker det opp en hendelse som endrer risikobildet for informasjonssikkerheten. Et eksempel på dette er Russlands invasjon av Ukraina. I etterkant av invasjonen advarte NSM (Nasjonal sikkerhetsmyndighet) og PST (Politiets sikkerhetstjeneste) om den økte risikoen for digitale angrep fra Russland. De oppfordret offentlige virksomheter til å vurdere ekstra sikkerhetstiltak for å sikre sine informasjonsverdier.
En sentral del av et velfungerende styringssystem for informasjonssikkerhet (ISMS) er oversikt over virksomhetens informasjonsverdier samt risiko knyttet til disse. I henhold til ISO27001, den internasjonale standarden for ISMS, burde virksomheter ha en oppdatert liste over sikringstiltak de har iverksatt.
En liste over sikringstiltak
En slik liste over sikringstiltak kalles i ISO27001-standarden for en «Statement of Applicability» og skal vise hvilke av de 114 sikringstiltakene i standarden som virksomheten har implementert eller valgt å ikke implementere i tillegg eventuelle tiltak virksomheten selv har definert.
Hendelser som krigen i Ukraina – så vel som interne organisasjonsendringer eller større oppdateringer i virksomhetskritiske systemer – kan føre til et behov for å revurdere risikoen knyttet til informasjonsverdier eller treffsikkerheten til implementerte sikringstiltak.
Dersom virksomheten ikke har oversikt over sine verdier, risikoer og tiltak i et oppdatert ISMS vil slike hendelser potensielt påføre virksomheten unødvendig stor belastning. Dette viser verdien og viktigheten av at virksomheter arbeider systematisk og kontinuerlig med informasjonssikkerheten og at man har satt av tilstrekkelige ressurser til dette løpende arbeidet.
Informasjonssikkerhet er ikke skippertak, det er kontinuerlig systematisk arbeid!
