Sikkerheten rundt informasjon er noe alle bedrifter må forholde seg til. Hvordan behandles sensitive opplysninger og forretningskritisk informasjon? Er risikoen for et sikkerhetsbrudd vurdert?
Natalia Koneva, revisjonsleder i Kiwa, fremhever at en sertifisering er et glimrende utgangspunkt for å få kontroll i egne rekker.
– En sertifisering er en tredjeparts bekreftelse på at du oppfyller kravene i en standard. ISO/IEC 27001 – Sertifisering av ledelsessystem for informasjonssikkerhet – er verdens mest anerkjente standard for datasikkerhet, sier Koneva.
– Standarden beskriver beste praksis for å beskytte organisasjoners data. Den har også søkelys på bedriftens leverandørkjede.
Bestillerkompetanse
Ved bestilling av eksterne IT-tjenester skal man, ifølge Koneva, ikke ta for gitt at leverandøren har full kontroll over informasjonssikkerheten. Som bestiller har man heller ikke alltid kunnskap om hva som bør sjekkes.
– En leverandør har ofte underleverandører. Jo lenger leverandørkjeden din er, jo større blir den digitale sårbarheten. Det er helt nødvendig å utarbeide en leverandøravtale som sikrer dine data, sier Koneva.
Hun anbefaler å stille som et minimumskrav at leverandører er sertifisert i henhold til ISO 27001.
Informasjonssikkerhet i helsesektoren
I helse- og omsorgssektoren har det vært stadig sterkere søkelys på personvern og sikring av sensitive opplysninger. Ecura er et eksempel på et norsk helseforetak som ønsket at deres organisasjon skulle etterleve gjeldende krav. De er sertifisert i henhold til fire ISO-standarder: 9001 for kvalitet, 14001 for miljø og 45001 for arbeidsmiljø, i tillegg til 27001.
Tore Martin Skarpholt, direktør for teknologi og innovasjon i Ecura, forteller at overskriften på ISO-arbeidet har vært å forbedre selskapet på alle områder. Han understreker også at det ikke er noen motsetning mellom fokus på informasjonssikkerhet og en enklere og mer effektiv IT-hverdag.
– Det ligger en forpliktelse i å ha fått sertifikatet og skulle resertifiseres årlig. Vi har innført ISO-systemene og har alle retningslinjene på plass. Det er nødvendig at dette nå blir en del av vårt daglige arbeid, sier Skarpholt og fortsetter:
– ISO-sertifiseringen har hjulpet oss til å bli mer bevisste, og forstå konsekvensene. Nå er det avgjørende at vi får med oss hele organisasjonen. Det er nødvendig at dette blir en del av vårt daglige arbeid.
Trygge arbeidshverdagen
Natalia Koneva i Kiwa fremhever at arbeidet med informasjonssikkerhet må forankres i ledelsen.
– Det er ledelsens ansvar å legge til rette for opplæring og kontinuerlig trening. Prosesser og prosedyrer skal også være lett tilgjengelige, slik at medarbeiderne er trygge på hvilke retningslinjer, lovkrav og rutiner som gjelder, understreker Koneva.
Kontinuerlig forbedring
En organisasjons sikkerhetskultur dreier seg om hvilke verdier som ligger til grunn for den enkeltes håndtering av informasjon og systemer.
– Ved å innføre et ledelsessystem for informasjonssikkerhet kan du sikre konfidensiell og forretningskritisk informasjon på en effektiv måte, sier Koneva og tilføyer:
– Å vise til et ISO 27001-sertifikat kan også øke troverdigheten og forbedre markedsposisjonen din.
Koneva poengterer at en sertifisering fungerer som et verktøy i arbeidet med kontinuerlig forbedring.
– Sertifikatet er gyldig i tre år. Fram til resertifiseringen gjennomføres årlige oppfølgingsrevisjoner. Gjennom denne prosessen blir organisasjonen ansporet til å jobbe systematisk med risiko og risikoreduserende tiltak, avslutter Koneva.
Av Stein Arne Hove