Hagfræði upplýsingaöryggis að ofan er ljóst að fyrirtæki og stofnanir búa við sívaxandi óvissu og standa æ oftar frammi fyrir því að taka áhættu af ein- hverju tagi. Öryggisviðbúnaður og ráð- stafanir eru mörgum ofarlega í huga, ekki síst eftir árásirnar 11. september 2001, en Ahituv4 hefur fært rök fyrir því að hinn efnahagslegi raunveruleiki muni leiða til þess að viðskiptageirinn muni slaka á ör- yggisviðbúnaði. Hugtakið ásættanleg áhætta skiptir lykilhlutverki þegar taka þarf ákvörðun við óvissuaðstæður, hvort sem um er að ræða markaðsmál, þróunar- mál, fjármál, starfsmannamál, fram- leiðslumál eða upplýsingakerfi. En hvað er þá ásættanleg áhætta? Hún fer eftir því hversu áhættusækinn viðkomandi er, hverjar afleiðingarnar eru, nálægð þeirra og hvaða líkur séu á þeim. Astralskir sér- fræðingar5 hafa sýnt fram á hlutverk áhættustjómunar og stöðugra umbóta í góðum stjómunarháttum fyrirtækja og stofnana. Þeir leggja áherslu á hæfilega blöndu af formlegu eftirliti sem byggir á vantrausti og innbyggðu eftirliti sem byggir á heildarsýn, trausti, samskiptum, námi og að nýta hæfileika til að ná mark- miðum. Efnahagslegur raun- veruleiki mun leiða til slökunar á öryggis- viðbúnaði Fræðin um stjórnun upplýsingaöryggis Skortur á upplýsingaöryggi veldur því að trúnaðarupplýsingar leka út, upplýsingar spillast eða þær eru ótiltækar. Samkvæmt skilgreiningum staðla snýst upplýsingaör- yggi um varðveislu leyndar (trúnaðar), réttleika og tiltækileika (aðgengi) upplýs- inga. Stjómkerfi upplýsingaöryggis er sá hluti heildarstjórnkerfisins sem byggist á rekstraráhættunálgun og er ætlaður til að koma upp, innleiða, starfrækja, vakta, rýna, viðhalda og bæta upplýsingaöryggi. Stjórnun upplýsingaöryggis snýst því um að stjórna árangri og gæðum á sviði ör- yggis upplýsinga, þannig að viðunandi vernd upplýsinga sé til staðar miðað við aðstæður og aðföng. Næsta mynd sýnir hvernig mismunandi kröfur um upplýsingaöryggi togast á. Þeg- ar togað er í eina átt stækkar kakan þeirn megin, en hún getur urn leið minnkað hinumegin. T.d. fara aðgengi og trúnaður illa saman og er kostnaðarsamt að tryggja hvorutveggja samtímis. Skipulag og rekstrarárangursþörf fyrirtækja gerir kröf- ur til allra þátta upplýsingaöryggis, að- gengis, réttleika og leyndar. Persónur sem em skráðar gera kröfur um réttleika per- sónuupplýsinga og leynd viðkvæmra per- sónuupplýsinga og em þær kröfur studdar með persónuverndarlögum. Almenningur gerir kröfur um aðgengi að upplýsingum um fyrirtækið/stofnunina og em þær kröf- ur til opinbera geirans studdar af stjórn- sýslulögum og upplýsingalögum. Eins og sjá má geta öryggissjónarmið stjórnenda, eigenda, almennings og annarra hags- munaaðila stangast verulega á. Þessi átök mismunandi sjónarmiða skýra það að þrátt fyrir miklar framfarir í upplýsingatækni og aukið aðgengi að allskonar upplýsing- um þarf fólk enn sem fyrr að leggja mikið á sig til að fá áreiðanlegar upplýsingar, jafnvel kaupa þær, en þeir sem vilja halda upplýsingum leyndum verða að leggja í meiri vinnu en áður til að tryggja þá leynd. Runólfur Smári6 hefur dregið fram fjór- ar víddir greiningar á stefnumótun. Greina má upplýsingaöryggi út frá þessum fjór- um víddum. Tilvistarvíddin lýsir því hvaða sjónarmið ráða þegar tekin er áhætta með upplýsingar. Ef t.d. sjónarmið eigenda ráða eingöngu þá skiptir rekstrar- árangur öllu og þá er lögð áhersla á rétt- leika, aðgengi og leynd rekstrarupplýs- inga, á kostnað persónuvemdar og ytri upplýsingaveitu. Ferilvíddin lýsir hugsun, tilurð og innleiðingu upplýsingaöryggis- stefnu. Hefðbundnar aðferðir við áhættu- mat og stjómun upplýsingaöryggis byggja Tölvumál 25

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44