UTFORDRING: Artikkelforfatterene sier det er en utfordring å nå ut med budskapet rundt informasjonssikkerhet, sikkerhetsopplæring og sikkerhetskultur. (Foto: Mika Baumeister / Unsplash)

Beredskapsøvelser alene skaper ikke god sikkerhetskultur

Kai Roer kritiserer i CW 12.01.2021 Digitaliseringsdirektoratet for å komme med utdaterte råd om sikkerhetsøvelser. Artikkelen er med på å illustrere en utfordring vi som jobber med informasjonssikkerhet, sikkerhetsopplæring og sikkerhetskultur står overfor: hvordan når vi ut med budskapet vårt?

Publisert Sist oppdatert

Kommentaren er et svar til en tidligere publisert sak i CW 12.01.2021 (CW++)

Vi er helt enige med Kai Roer i at øvelser er en viktig del av en virksomhets arbeid med informasjonssikkerhet. Som Grete Orderud fra Digitaliseringsdirektoratet presiserer i artikkelen, anbefaler vi derfor alle virksomheter å ha beredskapsøvelser på informasjonssikkerhetsområdet minst en gang i året. En gang i året er tilstrekkelig for noen, men ikke for alle. Hvor ofte som er tilstrekkelig må virksomhetene vurdere selv.

Beredskapsøvelser er bare en liten del av sikkerhetsarbeidet

Vi er også helt enige i at for å skape og vedlikeholde god sikkerhetskultur, må man gjøre mer enn å øve. Beredskapsøvelser er bare én del av en virksomhets arbeid med informasjonssikkerhet. Kompetanse- og kulturutvikling, i form av opplæring, bevisstgjøring og ferdighetstrening hos ansatte, er en annen og vel så viktig del.

Derfor har NorSIS og Digitaliseringsdirektoratet i samarbeid utarbeidet veiledning i hvordan offentlige virksomheter kan

Virksomhetene må jobbe kontinuerlig med kompetanse og kultur

Vi er – igjen – helt enige med Kai Roer i at det er viktig at virksomhetene jobber kontinuerlig med kompetanse- og kulturutvikling, og at behov for opplæring, bevisstgjøring og ferdighetstrening må identifiseres fortløpende. Erfaringer fra beredskapsøvelser er én kilde til informasjon om slike behov, sammen med for eksempel risikovurderinger, evalueringer/kartlegginger, lovpålagte forpliktelser og erfaringer fra hendelser.

Et vesentlig aspekt ved dette kontinuerlige arbeidet er også å måle om kompetansehevingstiltakene som gjennomføres har den ønskede effekten. Målinger forteller både om man oppnår ønsket nivå på sikkerheten, om tiltaket er hensiktsmessig utformet, og om det følges opp og etterleves godt nok.

Alt dette er elementer som inngår i en virksomhets systematiske arbeid med informasjonssikkerhet, som på ingen måte er en aktivitet som kan gjennomføres kun en gang i året.

Vi som veileder og gir råd må samarbeide

Hos både NorSIS, Digitaliseringsdirektoratet og andre aktører finnes det fritt tilgjengelig veiledning, og muligheter for rådgivning, på informasjonssikkerhetsområdet. Det er utfordrende å få kommunisert dette tilbudet ut til hele kommune-Norge. Her trenger vi at alle som brenner for at det offentlige blir bedre på informasjonssikkerhet, inkludert Kai Roer, drar lasset sammen, og bidrar til å heve de som stiller svakest!

 

 

 

 

 

 

Katrine Aam Svendsen er seniorrådgiver i Digitaliseringsdirektoratet og Eivind Reiner-Holm er seniorrådgiver hos NorSIS.