Morgunblaðið - 11.02.2006, Side 45
MORGUNBLAÐIÐ LAUGARDAGUR 11. FEBRÚAR 2006 45
UMRÆÐAN
VALGAR‹SSON
KJARTAN
3sæti
Allir me›!
Prófkjör Samfylkingarinnar í Reykjavík
HÖFUNDAR laganna sem þátt
tóku í undankeppni Evróvisjón á
dögunum gerðu ráð
fyrir að hugverk þeirra
væru í öruggum hönd-
um þar sem farið væri
eftir settum reglum á
öllum stigum und-
irbúnings fyrir keppn-
ina. Þetta á jafnt við
um aðstoðarfólk höf-
unda, flytjendur,
upptökulið og starfs-
menn sjónvarpsins eft-
ir afhendingu upptaka.
Höfundarnir gerðu
væntanlega ráð fyrir að
tryggt væri að lögin
þeirra færu ekki í al-
menna dreifingu sem myndi skaða
möguleika þeirra á þátttöku í keppn-
inni og þar með eyðileggja margra
vikna vinnu við samningu, útsetn-
ingu og upptöku laganna. Einhverra
hluta vegna fóru einhver laganna í
dreifingu á netinu en enginn veit
hvernig það gerðist eða hver var
ábyrgur. Skoðanir eru skiptar um
hvernig leysa eigi málið og ljóst er að
hvernig sem fer mun þessi leki skaða
höfunda laganna á þann hátt að alltaf
verða uppi efasemdir um hvort rétta
lagið hafi unnið keppnina. Svo virðist
sem ekki sé hægt að rekja feril lag-
anna þ.e. hver tók við þeim, hvert
þau voru send o.s.frv.
Ofangreind atburðarás sýnir í
hnotskurn ógn sem steðjar að öllum
fyrirtækjum landsins, jafnt stórum
sem smáum. Það að mikilvægar
trúnaðarupplýsingar leka frá einu
fyrirtæki til annars getur skaðað fyr-
irtækið sem í hlut á gífurlega, jafnvel
svo mikið að það komi niður á fjár-
hagslegri afkomu þess sem og ímynd
þegar til lengri tíma er litið. Kröfur
eftirlitsaðila á hendur fyrirtækjum
hafa sem betur fer vakið fyrirtæki til
meðvitundar um þessi mál og ekki
síður kröfur hluthafa, birgja, við-
skiptavina og jafnvel
starfsfólks.
Stjórnun upplýsinga-
öryggis er mikilvægur
þáttur í stjórnun fyr-
irtækja og stofnana.
Með sífellt öflugri hug-
búnaði, vélabúnaði og
nettengingum og vax-
andi notkun þessara
þátta og ekki síst al-
mennum aðgangi að
netinu eykst þörfin fyr-
ir að tryggja öryggi
gagna og búnaðar.
Skilvirkt stjórnkerfi
upplýsingaöryggis hjá
Sjónvarpinu hefði gert kröfur um
upplýsingaöryggi hjá birgjum þess
sem í þessu tilviki eru lagahöfundar.
Þeir hefðu upplýst sýna samstarfs-
aðila um hvað þeir hefðu undirgeng-
ist og krafist sama upplýsinga-
öryggis hjá þeim og allar líkur eru á
að lekinn hefði ekki átt sér stað.
Í þessu dæmi hefði rekjanleiki
upplýsinga sagt til um hvað gerðist.
Hvert lögin voru send, hvenær og
hvers vegna. Rekjanleiki er mik-
ilvægur þáttur í upplýsingaöryggi. Í
öllum hugbúnaði er t.d. mikilvægt að
hægt sé að skoða hvernig gögn
þróast eða breytast.
Ef hægt hefði verið að rekja leið
laganna frá því þeim var skilað, væri
hægt að komast að því hvort RÚV
væri ábyrgt, annars er ábyrgðin hjá
einhverjum á vegum höfundar lags.
Voru til, og bundnar í einhvers konar
samning, reglur um ábyrgð bæði
flytjenda og höfunda og RÚV um
leynd þar til að lag er flutt í keppni
og afleiðingar (viðurlög) ef reglur
væru brotnar?
Þá hefði verið hægt að komast hjá
deilum vegna lekans þar sem rétt
viðbrögð hefðu legið fyrir. Sama
gildir um meðhöndlun og skipti á
upplýsingum í margs konar rekstri:
stjórnkerfi upplýsingaöryggis stuðl-
ar að réttri meðferð upplýsinga,
minnkar líkur á öryggisbrotum og
staða samnings- og samstarfsaðila er
skýr.
Öll fyrirtæki ættu að gera sér
grein fyrir mikilvægi þess að tryggja
öryggi upplýsinga og beita stjórnun
þar sem upplýsingaöryggi er í önd-
vegi.
Gríðarleg þróun hefur átt sér stað
í öryggismálum upplýsingakerfa sem
m.a. má sjá af alþjóðlegum stöðlum á
þessu sviði sem litið hafa dagsins ljós
á undanförnum árum. Við sem neyt-
endur heilbrigðiskerfisins viljum til
dæmis að það sé tryggt að þær upp-
lýsingar sem um okkur eru til í heil-
brigðiskerfinu komist ekki í hendur
óviðkomandi. Við viljum að gögnin
séu varðveitt á þann hátt að þau séu
aðgengileg aðeins þeim sem við á og
jafnframt að þeir sem með þau fari
geri sér grein fyrir ábyrgð sinni
varðandi trúnað og þagnarskyldu.
Sömu sögu er að segja með þær upp-
lýsingar sem til eru hjá trygginga-
félögum líftryggingafélögum og líf-
eyrissjóðum, símafyrirtækjum,
kreditkortafyrirtækjum, bönkum og
jafnvel ráðningarstofum. Hjá þess-
um fyrirtækjum er gríðarlega mikið
af upplýsingum um okkar fjárhag og
einkamál sem við viljum ekki að
komist í hendur óviðkomandi.
Með því að innleiða staðla um upp-
lýsingaöryggi er leitast við að
tryggja alla ofangreinda meginþætti
með úttekt og endurskoðun á vinnu-
tilhögun viðkomandi fyrirtækis eða
stofnunar. Viðfangsefni alþjóðlegu
öryggisstaðlanna ISO 17799 og BS
7799 eru ekki einungis upplýs-
ingakerfin sjálf heldur einnig öll
vinna sem þeim tengist. Þannig þarf
m.a. að skilgreina hvernig umgengni
notenda við upplýsingar og kerfi
verður háttað og setja niður vinnu-
reglur þar að lútandi.
Þessir staðlar eru því á engan hátt
tæknilegir heldur er um að ræða
stjórnunarstaðla eða aðferðir og
vinnubrögð þar sem verkferli eru
skráð, áhætta í vinnslu og meðferð
upplýsinga er metin og loks áætlanir
um samfelldan rekstur gerðar, komi
til áfalls sem lamað gæti rekstur og
skaðað upplýsingar.
Upplýsingaleki
Ragnheiður Kristín Guðmunds-
dóttir fjallar um leka upplýs-
inga, þegar gæta á trúnaðar ’Með sífellt öflugri hug-búnaði, vélabúnaði og
nettengingum og vaxandi
notkun þessara þátta og
ekki síst almennum að-
gangi að netinu eykst
þörfin fyrir að tryggja ör-
yggi gagna og búnaðar.‘
Ragnheiður Kristín
Guðmundsdóttir
Höfundur er markaðsstjóri Stika ehf.