V ISBENDING Eftirlit með upplýsingum að er ekki að ófyrirsynju að þeir tímar sem við upplifum nú eru kallaðir upplýsingaöldin. Fjar- skipta- og tölubyltingin hefúr gjörbreytt því umhverfí sem við lifum og hrærumst í. Það eru ekki ýkja mörg ár síðan allt bókhald fyrirtækja var fært í raunveru- legar bækur, sjúkraskýrslur voru skráðar í flókið skjalasafn og öll uppfletting var handvirk. Breytingin er svo stórkostleg að fæstir gera sér fullkomlega grein fyrir henni. En það var höggormur í paradís og svo er einnig í þessari nýju veröld. Með opnari og auðveldari aðgangi að upplýsingum eykst hættan á ýmiss kon- ar misnotkun þeirra. Upplýsingar eru varðveittar á ýmsu formi og á mörgum ólíkum stöðum. Margvíslegar hættur steðja að og því er þörf á að skilgreina þá áhættuþætti sem helstir eru og reyna með einhverjum hætti að draga úr eða hindra misnotkun upplýsinga. Öryggi ótt erfitt geti verið, í síbreytilegum heimi, að tryggja öryggi gagna er nauðsynlegt að taka skipulega á vanda- málinu og koma upp öryggiskerfí sem nær til skráningar, vinnslu, varðveislu, sendingu upplýsinga og sókn í upplýs- ingar á tölvutæku formi. Nauðsynlegt er að veija upplýsingar frá ógnunum sem gætu valdið tapi þeirra, hömlum á að- gangi, breytingum eða óleyfilegum upp- ljóstrunum. Hægt er að lagskipta vemd- un, t.d. með blöndu tæknilegra og tækni- lausra vamaðarþátta, svo sem mannlegri vörslu, bakgrunnsathugunum, það að bera kennsl á notanda, lykilorðum o.s.ffv. Eðlilegt er að fyrirtæki og stofnanir setji sér markmið um öryggi og meðferð upp- lýsinga. Grundvallaratriði il að öryggi sem sé best tryggt er nauðsynlegt að ákveðnum grund- vallarskilyrðum sé fullnægt ■ Ábyrgðarsvið-Enginnvafimáleika á því hver hefur með gagnaöryggi að gera og ber ábyrgð á framkvæmd- inni. ■ Meðvitund - Nauðsynlegt er að starfsmenn séu meðvitaðir um áhættu og þau úrræði sem notuð eru til vama. • Fjölbreytni í vömum - Huga verður að tæknilegum þáttum jafnhliða öðr- um þáttum sem ekki em tæknilegir þegar tekið er á öryggismálum. • Kostnaðarhagkvæmni - Gæta verð- ur að því að kostnaður við vamir sé ekki óhæfilegur þegar tekið er tillit til verðmætis upplýsinganna. Samþætting - Nauðsynlegt er að stýra vömum og byggja þær inn í kerfi og ferli. Endurmat - Nauðsynlegt er að end- urmeta vamir reglulega. T ímanleiki - Með vömum verður að tryggja að eftirlit og viðbrögð séu tímanleg. Félagslegir þættir - Gæta verður að því að virða réttindi og hagsmuni annarra. Leiðir il að ná þeim markmiðum sem fyrirtæki setja sér þarf að ákveða þær leiðir sem fara skal. Ein aðferðin er sú sem hér er lýst. • Þróun stefnu - Ákveða þarf milli- markmið og grundvallarsjónarmið og búa til umgjörð um öryggismál - þróa stefnu í öryggismálum. ■ Hlutverk og ábyrgðarsvið - Nauð- synlegt er ef koma á upp virku örygg- is- eða vamarkerfi að ávarða hlut- verk einstaklinga, ábyrgðarsvið og valdsvið og koma því á framfæri við alla. ■ Hönnun - Þegar yfirstjóm og þeir sem taka verkið að sér hafa sam- þykkt stefnuna er nauðsynlegt að setja staðla, mæliaðferðir, venjur og verklagsreglur. • Framkvæmd-Þegarhönnunerlokið þarf að hrinda verkinu í framkvæmd og sjá til þess að það sé gert í sam- ræmi við tímaáætlanir. Síðan þarf að halda verkinu við. • Eftirlit - Nauðsynlegt er að koma á mæliaðferðum til að finna brot og lagfæra. Þannig þyrfti að verða vart við alla atburði er varða öryggi kerfis, hvort sem þeir em raunveru- legir eða grunaðir. Það þarf að upp- götva, rannsaka og taka á slíkum atburðum og tryggja að öryggis- stefnan sé sífellt í ff amkvæmd í sam- rærni við staðla, venjur og verklags- reglur. • Meðvitund, þjálfun og menntun - Til að vemda upplýsingar er nauð- synlegt að starfsfólk sé meðvitað um hættuna. Því er eðlilegt að starfs- fólk sé þjálfað í notkun þeirra tækja sem það fer með þannig að öryggi sé tryggt með sem bestum hætti. Einnig er nauðsynlegt að öryggis- aðgerðir og venjur séu kynntar vel fyrir starfsfólki því að ekkert er eins mikilvægt til að ná árangri við að tryggja öryggi og varnir upplýs- inga. Síbreytilegt umhverfi Þróunin á tölvu- og fjarskiptasviði hefúr verið ótrúlega stórstíg síðustu árin. Lögmál Moors (Gordons Moors stofnanda Intel tölvufýrirtækisins) um að vinnslugeta minnis í tölvu tvöfaldist á 18 til 24 mánaða fresti hefur haldið ótrúlega lengi eða allt ffá 1962. Vegna þessarar hröðu þróunar er sífellt verið að skipta um búnað og auka við getu tölvunnar. Þess vegna þarf sífellt að hafa öryggisþáttinn í huga, bæði vegna nýjunga og ekki síður vegna úreldingar. Til dæmis gæti verið erfitt að finna 5 1/ 4 tommu diskettudrif í fyrirtækjum í dag ef skyndilega þyrfti að ná í gamalt afrit sem einungis væri geymt á þessum miðli, að ekki sé talað um gataspjöld eða segul- bönd sem skrifað var á með einhverjum sérstökum aðferðum á síðasta áratug. Til að öryggisaðgerðir gangi upp þurfa þær að vera virkar og þeir sem sinna öryggismálum þurfa að hafa frumkvæði við að komaþeim á framfæri þegarbreyt- ingar eru fýrirhugaðar. Gagnaöryggi skiptiralla máli að er sama hvar gripið er niður í fýrir- tækinu, það verða allir að leggjast á plóginn til að tryggja að öryggismál í tölvu- og upplýsingakerfum sé í sem bestu horfi. Yfirstjórnendur bera endan- lega ábyrgð og þeir verða að gera sér grein fyrir mikilvæginu. Þótt sérfræð- ingarhafi yfirfarið öryggismál fýrirtækis leysir það ekki starfsmenn undan þeirri ábyrgð sem það ber. I sumum tilvikum eru tölvugögn það mikilvæg í starfsem- inni að það getur riðið því að fullu ef eitthvað alvarlegt kemur upp á í meðferð eða notkun þeirra. Fjölmörg fyrirtæki og stofnanir senda upplýsingar um tölvunet á milli staða Heimild: The International Federation of Account- ants, Managing Security of Information. 3

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4