Hvorfor?
Det er på flere områder et krav og anbefaling at man som bestyrelse og ledelse har indblik i organisationen og har styr på informationssikkerheden. I medierne har der været meget fokus på det under agendaen Cybersecurity. Senest er det igen blevet aktuelt med krisen i Ukraine, hvor der er en forhøjet risiko for danske virksomheder og myndigheder.
Nedenfor kommer forslag til spørgsmål du som ledelse kan stille til din organisation samt forslag til simpelk kontrol af de svar du modtager. Tilgang er overordnet og skal efter vores opfattelse følges op med stikprøver og reelt dokumentation på ledelsens orientering og stillingtagen til organisationens tiltag og parathed.
Relevante spørgsmål til organisationen
Listen nedenfor er ikke udtømmende, men er et godt sted at starte med at skabe sig et overblik. Bed organisationen om dokumenter eller svar på nogle af disse spørgsmål.
- Bed om organisationens informationssikkerhedspolitik, samt sidste dato for revision af denne og hvem der har godkendt denne.
- Bed om organisationens årshjul for arbejde med informationssikkerhed, samt sidste dato for revision af denne og hvem der har godkendt denne.
- Bed om organisationen om en oversigt/liste over de mest kritiske systemer som bør være udpeget på baggrund af konkrete risikovurderinger og eller en dokumenteret konkret forretningsmæssig vurdering.
- Udlevering af den / de beredskabsplaner som dækker de udpegede kritiske IT-systemer, samt sidste dato for revision af denne og hvem der har godkendt denne.
- Hvornår er der sidst gennemført en beredskabsøvelse med et eller flere af de kritisk udpegede systemer.
- Relevante mødereferater fra sikkerhedsudvalget / sikkerhedsforum og deres afholdte møder i regi af årshjulet.
- Hvornår er der sidst gennemført informationssikkerhedsuddannelse af de ansatte, og hvordan har man forholdt sig til ekstra uddannelse af de ansatte der ikke bestod testen?
Sådan kontrollere du svar
Når du som bestyrelse eller ledelse modtager svarene er der nogle simple tjek du kan udføre. Hvis de falder positivt ud, er der en god mulighed for at organisationen er på plads informationssikkerhedsmæssigt og at der er fokus på det i den daglige drift.
- Det første du skal kigge efter er at der er sammenhæng mellem de systemer der er udpeget som kritiske, og at de også er med i beredskabsplanen. Det bør matche 1 til 1.
- Kig at alle dokumenterne er revideret indenfor de sidste 12 måneder og er i overensstemmelse datomæssigt med årshjulet. Det vil sige følger man planen eller skubber man opgaverne foran sig, manglende vilje eller fokus på arbejdet.
- Svaret på om alle er uddannet inden for de sidste 12 måneder med TEST og har bestået. Det er et decideret krav datatilsynet skriver om i deres vejledninger. Hold fokus på det.
- Kontrollere at datoer der står i årshjulet er overholdt med tilhørende aktiviteter. Kan eks. ses i mødereferater og kvartals eller halvårs rapporter til ledelsen. Det vil sige følger man planen eller skubber man opgaverne foran sig, manglende vilje eller fokus på arbejdet.
Hvis alt ser godt ud, har du som øverste ledelse sikret dig overordnet, at der er fokus og styr på jeres informationssikkerhed. Men du skal sikre løbende afrapportering i bestyrelsen og at der protokolleres at i har arbejdet med det og evt. har besluttet handlingsplaner med forbedringer eller at i er tilfredse med sikkerhedsniveauet.
Husk, informationssikkerhed er en investering og ikke en udgift. Det er en indgang til forståelse af processer og arbejde i organisationen som åbner op for effektiviseringer.
Tænk LEAN.