Tölvumál - 01.10.2004, Blaðsíða 26
Hagfræði upplýsingaöryggis
fyrst og fremst á rökrænni hugsun, vilj-
andi tilurð og byltingarkenndri innleið-
ingu. Innihaldsvíddin lýsir sjónarmiðum
og afurð stefnumótunarinnar. Ahættumat
byggir á markaðssjónarmiði og tekur tillit
til sveigjanleika, en öryggisráðstafanir
byggja fyrst og fremst á auðlindum og
kjamafærni. Samhengisvíddin lýsir þeim
aðstæðum sem ákvarða ferli og innihald
stefnumótunar. Öryggisráðstafanir byggja
á innri stýringu og áhættumatið á ytri
Hagkvæmast að sveigjanleika.
miða ráðstafanir við Svipað á við um stjórnun upplýsingaör-
eigið áhættumat yggis °g margra annarra innri rekstrar-
þátta, að aðferðir gæðastjórnunar geta
hentað vel. Hæfilegar, eðlilegar og góðar
starfsvenjur í takt við tímann hafa verið
skjalfestar í formi staðla og annarra leið-
beininga um stjórnun upplýsingaöryggis.
Gert er ráð fyrir að beitt sé skipulagsleg-
um ráðstöfunum ekki síður en tæknileg-
um, til að tryggja sem best aðgengi, rétt-
leika og leynd upplýsinga. Mikilvægt er
að menn beiti ekki stöðlum í blindni, held-
ur meti kröfurnar í eigin umhverfi og velja
ráðstafanir í samiæmi við þær.
Þar er kominn kjarninn í hagfræði upp-
lýsingaöryggis: að miða ráðstafanir við
eigið áhættumat. Hræðsla og vanþekking
fær því miður fyrirtæki og stofnanir oft til
að byggja virki við aðaldymar en skilja
bakdyrnar eftir opnar.
Stjórnun upplýsingaöryggis á íslandi
títbúnar voru 127 spurningar um stjómun
upplýsingaöryggis, vitund og stöðu miðað
við önnur lönd og hvað megi betur fara.
Spurningarnar byggðu á fræðilegri athug-
un og erlendri fyrirmynd. Spumingalistinn
var notaður til að gera vefkönnun meðal
113 fyrirtækja og stofnana úr öllum at-
vinnugreinum og svöruðu henni 63.
Könnunin var gerð í samstarfi við KPMG
og Staðlaráð Islands. Súluridð sýnir með
bláu þær mælingar sem þannig fengust á
kröfum og framkvæmd mála varðandi
upplýsingaöryggi (ISM), árangur almennt
og verndun almennt, en með rauðu erlend-
an samanburð.
Meginniðurstaða könnunarinnar var sú,
að stjórnendur finna minni kröfur um upp-
lýsingaöryggi en til árangurs almennt, en
meiri en til verndunar eigna og lífs og
stjómunaráherslur eru í samræmi við það.
Einnig reyndist fylgni vera lítil milli ár-
angurs, notkunar staðla og ráðstafana, sem
er áhyggjuefni, þar sem kröfur um stjóm-
un upplýsingaöryggis gefa tilefni til meiri
notkunar staðla.
íslensk fyrirtæki finna meiri kröfur um
upplýsingaöryggi og leggja meiri áherslu
á stjórnun þess en almennt gerist erlendis.
Menn fmna jafnt fyrir lagalegum og við-
skiptalegum kröfum. íslenskar áherslur á
upplýsingaöryggi virðast minni en kröf-
urnar, en ekki er marktækur munur. Mjög
sterk fylgni er milli krafna um upplýsinga-
öryggi og áherslu á stjórnun þess. Kröfur
um staðla vega minna en aðrar íslenskar
kröfur um upplýsingaöryggi.
Umfang ráðstafana vegna upplýsingaör-
yggis er í samræmi við kröfur og áherslur,
en virðist vera svipað og erlendis þrátt fyr-
ir að áhersla á upplýsingaöryggi sé meiri
hérlendis. Þó er hægt að leiða líkur að því
að öryggisráðstafnir séu hlutfallslega
meiri hér vegna smæðar skipulagsheild-
anna.
Islensk fyrirtæki mæla síður árangurinn
af stjórnun upplýsingaöryggis en erlend,
en telja þó aðra Evrópubúa ná betri ár-
angri. Vera kann að þessi minnimáttar-
kennd valdi því að Islendingar finni meira
fyrir kröfunum um upplýsingaöryggi og
leggi því meiri áherslu á stjórnun þess, en
séu ekki komnir svo langt að læra að mæla
árangurinn.
Sem frekari innlegg í umræðuna var eitt
íslenskt raundæmi skoðað nánar, sem gaf
m.a. vísbendingar um að líta mætti á
stjómun upplýsingaöryggis sem hringferli
26
Tölvumál