Beredskapsøvelser alene skaper ikke god sikkerhetskultur
Kai Roer kritiserer i CW 12.01.2021 Digitaliseringsdirektoratet for å komme med utdaterte råd om sikkerhetsøvelser. Artikkelen er med på å illustrere en utfordring vi som jobber med informasjonssikkerhet, sikkerhetsopplæring og sikkerhetskultur står overfor: hvordan når vi ut med budskapet vårt?
Kommentaren er et svar til en tidligere publisert sak i CW 12.01.2021 (CW++)
Vi er helt enige med Kai Roer i at øvelser er en viktig del av en virksomhets arbeid med informasjonssikkerhet. Som Grete Orderud fra Digitaliseringsdirektoratet presiserer i artikkelen, anbefaler vi derfor alle virksomheter å ha beredskapsøvelser på informasjonssikkerhetsområdet minst en gang i året. En gang i året er tilstrekkelig for noen, men ikke for alle. Hvor ofte som er tilstrekkelig må virksomhetene vurdere selv.
Beredskapsøvelser er bare en liten del av sikkerhetsarbeidet
Vi er også helt enige i at for å skape og vedlikeholde god sikkerhetskultur, må man gjøre mer enn å øve. Beredskapsøvelser er bare én del av en virksomhets arbeid med informasjonssikkerhet. Kompetanse- og kulturutvikling, i form av opplæring, bevisstgjøring og ferdighetstrening hos ansatte, er en annen og vel så viktig del.
Derfor har NorSIS og Digitaliseringsdirektoratet i samarbeid utarbeidet veiledning i hvordan offentlige virksomheter kan
Virksomhetene må jobbe kontinuerlig med kompetanse og kultur
Vi er – igjen – helt enige med Kai Roer i at det er viktig at virksomhetene jobber kontinuerlig med kompetanse- og kulturutvikling, og at behov for opplæring, bevisstgjøring og ferdighetstrening må identifiseres fortløpende. Erfaringer fra beredskapsøvelser er én kilde til informasjon om slike behov, sammen med for eksempel risikovurderinger, evalueringer/kartlegginger, lovpålagte forpliktelser og erfaringer fra hendelser.
Et vesentlig aspekt ved dette kontinuerlige arbeidet er også å måle om kompetansehevingstiltakene som gjennomføres har den ønskede effekten. Målinger forteller både om man oppnår ønsket nivå på sikkerheten, om tiltaket er hensiktsmessig utformet, og om det følges opp og etterleves godt nok.
Alt dette er elementer som inngår i en virksomhets systematiske arbeid med informasjonssikkerhet, som på ingen måte er en aktivitet som kan gjennomføres kun en gang i året.
Vi som veileder og gir råd må samarbeide
Hos både NorSIS, Digitaliseringsdirektoratet og andre aktører finnes det fritt tilgjengelig veiledning, og muligheter for rådgivning, på informasjonssikkerhetsområdet. Det er utfordrende å få kommunisert dette tilbudet ut til hele kommune-Norge. Her trenger vi at alle som brenner for at det offentlige blir bedre på informasjonssikkerhet, inkludert Kai Roer, drar lasset sammen, og bidrar til å heve de som stiller svakest!
Katrine Aam Svendsen er seniorrådgiver i Digitaliseringsdirektoratet og Eivind Reiner-Holm er seniorrådgiver hos NorSIS.