Junglemaps modenhetsmodell for informasjonssikkerhet

«Den menneskelige faktoren» - ansatte som døråpnere for cyberkriminelle eller et kollektivt digitalt forsvar?

 

Alle de åpne trusselvurderingene fra våre hemmelige tjenester i Norge fremhever mennesket som en av de mest sårbare utfordringene i våre digitale verdikjeder. Litt på spissen er en ny pc idag sikker helt frem til et menneske slipper til på tastaturet, og blir døråpneren for uvedkommende inn bak IT-sikkerhetsmurene. Ikke bare ved å trykke på lenker via phishing e-post og laste ned usikrede vedlegg, men også ved informasjon som deles via sosial manipulering f. eks i sosiale medier. Det kreves derfor forebyggende og bevisstgjørende tiltak for ansatte året rundt som en del av en helhetlig sikkerhetsprosess. 

På hvilket nivå skal det forebyggende arbeidet starte?

De aller fleste virksomheter forholder seg til sikkerhet, men på ulikt vis ut ifra ressurser, bransje og om de er underlagt sikkerhetsloven eller ikke. Enkelte virksomheter jobber proaktivt med sine helhetlige sikkerhetsprosesser året rundt, mens andre tar det litt mer adhoc. Med andre ord, så er det ulik modenhet i henhold til hvilket nivå en virksomhet er på innen sikkerhetsarbeidet. Junglemap har derfor utviklet en modenhetsmodell som forenkler prosessen med å finne hvilket modenhetsnivå virksomheten er på innen digital sikkerhet, for deretter velge riktige tiltak. Modellen er delt inn i fire trinn for å finne riktig utgangspunkt for bevisstgjøringstiltak og sikkerhetsprosesser:

  1. Bar bakke: Ingen støtte fra ledelsen, ingen bevisstgjøringsprosesser og ingen evaluering. 

  2. Compliance drevet: Reaktiv tilnærming og adhoc styrt av ledelse.

  3. Proaktiv og risikodrevet: Aktiv ledelse som støtter og måler bevisstgjøringsprosessene som kjøres kontinuerlig. 

  4. Ledelsesstyrt og 360 graders perspektiv: I tillegg til punkt tre følger ledelsen med på KPIer for bevisstgjøringsprosesser kontinuerlig på lik linje med øvrige KPIer for drift og ledelse. Dette nivået bør alle virksomheter ha som et sikkerhetsmål.

 

Kontinuerlig bevisstgjøringsprosess

Alle virksomheter må i dag forholde seg til og sikre egne digitale verdikjeder (ref. St.mld. 38, «IKT-sikkerhet – et felles ansvar»). Derfor blir også behovet for å sikre det menneskelige kollektive forsvar i en virksomhet en kontinuerlig bevisstgjøringsprosess som må ledes, rapporteres og evalueres. Både for å sikre egne verdier, men også for å sikre leverandører, kunder og øvrige verdikjeder man er avhengige av, samt etterleve øvrige sikkerhets krav samfunnet har. 

 

For å sikre at alle ansatte til enhver tid har oppdatert kunnskap anbefaler Junglemap at alle virksomheter etterstreber å komme til nivå 4 i vår modenhetsmodell. En kontinuerlig bevisstgjøringsprosess holder digital sikkerhet på agendaen på en måte som frittstående, usynkroniserte tiltak én gang i året aldri vil klare. Tekniske oppdateringer skjer automatisk og det er ellers enkelt å oppdatere og oppgradere it-infrastruktur for bedre sikkerhet. Men mennesket er ikke som maskiner og trenger et annet rammeverk for å sikre «menneskelig oppdatering», bevisstgjøring og læring om hvordan bidra til virksomhetens helhetlige sikkerhet.  

 

Om din virksomhet vil vite mer, så ta gjerne kontakt med oss for et møte. Les mer om vår modenhetsmodell og øvrig produktportefølje.

 

Kilder:

 

St.mld. 38, «IKT-sikkerhet – et felles ansvar» som poengterer at alle, uansett posisjon, må ta ansvar for egen digital sikkerhet.

https://www.regjeringen.no/no/dokumenter/meld.-st.-38-20162017/id2555996/sec1

 

PST trusselvurdering: 

https://www.pst.no/alle-artikler/trusselvurderinger/trusselvurdering-2019/

 

Junglemap samarbeider med PST og Næringslivets sikkerhetsråd (NSR)

https://www.nsr-org.no/aktuelle-saker/nsr-leder-an-med-et-unikt-offentlig-privat-samarbeid-article1292-110.html

 

 

 Birgitte Førsund / Junglemap