Vísbending - 05.02.1999, Qupperneq 3
V
ISBENDING
Eftirlit með upplýsingum
að er ekki að ófyrirsynju að þeir
tímar sem við upplifum nú eru
kallaðir upplýsingaöldin. Fjar-
skipta- og tölubyltingin hefúr gjörbreytt
því umhverfí sem við lifum og hrærumst
í. Það eru ekki ýkja mörg ár síðan allt
bókhald fyrirtækja var fært í raunveru-
legar bækur, sjúkraskýrslur voru skráðar
í flókið skjalasafn og öll uppfletting var
handvirk. Breytingin er svo stórkostleg
að fæstir gera sér fullkomlega grein fyrir
henni. En það var höggormur í paradís
og svo er einnig í þessari nýju veröld.
Með opnari og auðveldari aðgangi að
upplýsingum eykst hættan á ýmiss kon-
ar misnotkun þeirra. Upplýsingar eru
varðveittar á ýmsu formi og á mörgum
ólíkum stöðum. Margvíslegar hættur
steðja að og því er þörf á að skilgreina
þá áhættuþætti sem helstir eru og reyna
með einhverjum hætti að draga úr eða
hindra misnotkun upplýsinga.
Öryggi
ótt erfitt geti verið, í síbreytilegum
heimi, að tryggja öryggi gagna er
nauðsynlegt að taka skipulega á vanda-
málinu og koma upp öryggiskerfí sem
nær til skráningar, vinnslu, varðveislu,
sendingu upplýsinga og sókn í upplýs-
ingar á tölvutæku formi. Nauðsynlegt
er að veija upplýsingar frá ógnunum sem
gætu valdið tapi þeirra, hömlum á að-
gangi, breytingum eða óleyfilegum upp-
ljóstrunum. Hægt er að lagskipta vemd-
un, t.d. með blöndu tæknilegra og tækni-
lausra vamaðarþátta, svo sem mannlegri
vörslu, bakgrunnsathugunum, það að
bera kennsl á notanda, lykilorðum o.s.ffv.
Eðlilegt er að fyrirtæki og stofnanir setji
sér markmið um öryggi og meðferð upp-
lýsinga.
Grundvallaratriði
il að öryggi sem sé best tryggt er
nauðsynlegt að ákveðnum grund-
vallarskilyrðum sé fullnægt
■ Ábyrgðarsvið-Enginnvafimáleika
á því hver hefur með gagnaöryggi
að gera og ber ábyrgð á framkvæmd-
inni.
■ Meðvitund - Nauðsynlegt er að
starfsmenn séu meðvitaðir um
áhættu og þau úrræði sem notuð
eru til vama.
• Fjölbreytni í vömum - Huga verður
að tæknilegum þáttum jafnhliða öðr-
um þáttum sem ekki em tæknilegir
þegar tekið er á öryggismálum.
• Kostnaðarhagkvæmni - Gæta verð-
ur að því að kostnaður við vamir sé
ekki óhæfilegur þegar tekið er tillit
til verðmætis upplýsinganna.
Samþætting - Nauðsynlegt er að
stýra vömum og byggja þær inn í
kerfi og ferli.
Endurmat - Nauðsynlegt er að end-
urmeta vamir reglulega.
T ímanleiki - Með vömum verður að
tryggja að eftirlit og viðbrögð séu
tímanleg.
Félagslegir þættir - Gæta verður að
því að virða réttindi og hagsmuni
annarra.
Leiðir
il að ná þeim markmiðum sem
fyrirtæki setja sér þarf að ákveða
þær leiðir sem fara skal. Ein aðferðin er
sú sem hér er lýst.
• Þróun stefnu - Ákveða þarf milli-
markmið og grundvallarsjónarmið
og búa til umgjörð um öryggismál
- þróa stefnu í öryggismálum.
■ Hlutverk og ábyrgðarsvið - Nauð-
synlegt er ef koma á upp virku örygg-
is- eða vamarkerfi að ávarða hlut-
verk einstaklinga, ábyrgðarsvið og
valdsvið og koma því á framfæri við
alla.
■ Hönnun - Þegar yfirstjóm og þeir
sem taka verkið að sér hafa sam-
þykkt stefnuna er nauðsynlegt að
setja staðla, mæliaðferðir, venjur og
verklagsreglur.
• Framkvæmd-Þegarhönnunerlokið
þarf að hrinda verkinu í framkvæmd
og sjá til þess að það sé gert í sam-
ræmi við tímaáætlanir. Síðan þarf
að halda verkinu við.
• Eftirlit - Nauðsynlegt er að koma á
mæliaðferðum til að finna brot og
lagfæra. Þannig þyrfti að verða vart
við alla atburði er varða öryggi
kerfis, hvort sem þeir em raunveru-
legir eða grunaðir. Það þarf að upp-
götva, rannsaka og taka á slíkum
atburðum og tryggja að öryggis-
stefnan sé sífellt í ff amkvæmd í sam-
rærni við staðla, venjur og verklags-
reglur.
• Meðvitund, þjálfun og menntun -
Til að vemda upplýsingar er nauð-
synlegt að starfsfólk sé meðvitað
um hættuna. Því er eðlilegt að starfs-
fólk sé þjálfað í notkun þeirra tækja
sem það fer með þannig að öryggi
sé tryggt með sem bestum hætti.
Einnig er nauðsynlegt að öryggis-
aðgerðir og venjur séu kynntar vel
fyrir starfsfólki því að ekkert er eins
mikilvægt til að ná árangri við að
tryggja öryggi og varnir upplýs-
inga.
Síbreytilegt umhverfi
Þróunin á tölvu- og fjarskiptasviði
hefúr verið ótrúlega stórstíg síðustu
árin. Lögmál Moors (Gordons Moors
stofnanda Intel tölvufýrirtækisins) um
að vinnslugeta minnis í tölvu tvöfaldist
á 18 til 24 mánaða fresti hefur haldið
ótrúlega lengi eða allt ffá 1962. Vegna
þessarar hröðu þróunar er sífellt verið
að skipta um búnað og auka við getu
tölvunnar. Þess vegna þarf sífellt að
hafa öryggisþáttinn í huga, bæði vegna
nýjunga og ekki síður vegna úreldingar.
Til dæmis gæti verið erfitt að finna 5 1/
4 tommu diskettudrif í fyrirtækjum í dag
ef skyndilega þyrfti að ná í gamalt afrit
sem einungis væri geymt á þessum miðli,
að ekki sé talað um gataspjöld eða segul-
bönd sem skrifað var á með einhverjum
sérstökum aðferðum á síðasta áratug.
Til að öryggisaðgerðir gangi upp þurfa
þær að vera virkar og þeir sem sinna
öryggismálum þurfa að hafa frumkvæði
við að komaþeim á framfæri þegarbreyt-
ingar eru fýrirhugaðar.
Gagnaöryggi skiptiralla
máli
að er sama hvar gripið er niður í fýrir-
tækinu, það verða allir að leggjast á
plóginn til að tryggja að öryggismál í
tölvu- og upplýsingakerfum sé í sem
bestu horfi. Yfirstjórnendur bera endan-
lega ábyrgð og þeir verða að gera sér
grein fyrir mikilvæginu. Þótt sérfræð-
ingarhafi yfirfarið öryggismál fýrirtækis
leysir það ekki starfsmenn undan þeirri
ábyrgð sem það ber. I sumum tilvikum
eru tölvugögn það mikilvæg í starfsem-
inni að það getur riðið því að fullu ef
eitthvað alvarlegt kemur upp á í meðferð
eða notkun þeirra. Fjölmörg fyrirtæki
og stofnanir senda upplýsingar um
tölvunet á milli staða
Heimild: The International Federation of Account-
ants, Managing Security of Information.
3