Tölvumál - 01.11.2011, Blaðsíða 41
T Ö LV U M Á L | 4 1
Upplýsingar eru verðmætustu eignir fyrirtækis í nútíma samfélagi. Það er
því góð ástæða til að huga vel að öryggi þeirra. Öryggisstefnu er ætlað að
verja upplýsingaeignir fyrir innri og ytri ógnunum hvort sem að þær eru af
ásetningi, vegna óhappa eða af slysni og stuðla þannig að upplýsingaöryggi.
Lagalegt umhverfi öryggisstefnu er nokkuð skýrt og er þá einna helst stuðst
við lög nr. 77/2000 um persónuvernd og meðferð upplýsinga.
Til að átta sig betur á samhengi þess hvernig öryggisstefna er uppbyggð þá
er það stefnan sjálf sem gefur heildarmyndina, hvert fyrirtækið stefnir og
hvaða markmiðum það vill ná. Undirliggjandi er stjórnkerfi sem notað er til
að koma fyrirtækinu á þann stað sem stefnan kveður á um og heldur utan
um verkferla og verklagsreglur. Verkferlarnir segja til um hvað skal gera og
verklagsreglur lýsa því svo hvernig skal framkvæma það. Markmiðið með
því að innleiða stjórnkerfi upplýsingaöryggis er að ramma inn verklag við
rekstur með betri skjölun, lágmarka áhættu og bæta öryggi almennt; jafnt í
rekstri sem og í þjónustu.
Alþjóðlegi staðalinn ISO/IEC 27001 skilgreinir kröfur sem settar eru fyrir
stjórnkerfi upplýsingaöryggis. Staðallinn hentar fyrirtækjum af öllum
stærðargráðum því hægt er að heimfæra og aðlaga hann að hverju og
einu fyrirtæki eftir því við hvað það er að fást og á hvaða sviði það starfar.
Þegar fyrirtæki fer í að marka öryggisstefnu stillir það upp stjórnkerfi
upplýsingaöryggis og innleiðir það. Síðan stendur það frammi fyrir þeirri
ákvörðun hvort að það eigi að öðlast vottun samkvæmt ISO/IEC 27001 eða
einungis nota ramma staðalsins sem leiðarvísi. Engin skylda er að öðlast
vottun á sviði upplýsingaöryggis en æ fleiri ganga í gegnum það ferli þar
sem sýnt hefur verið fram á að það veiti fyrirtækjum samkeppnisforskot,
rekstrarávinning og heilbrigt stjórnkerfi. Gagnrýnisraddir telja ferlið við að
öðlast vottun krefjast mikillar, ógagnlegrar og tímafrekrar skjölunarvinnu.
Hinsvegar líta þau fyrirtæki sem hafa öðlast vottun á þetta ferli sem
fjárfestingu en ekki kostnað.
Könnun 2011
Gerð var könnun meðal íslenskra fyrirtækja á Íslandi á stöðu og viðhorfi til
öryggisstefnu og upplýsingaöryggis árið 2011. Leitað var til 44 fyrirtækja
en einungis 13 fyrirtæki vildu taka þátt og svöruðu spurningum af
spurningalista sem gerður var sérstaklega fyrir þessa könnun. Ýmist var
rætt við framkvæmdarstjóra, öryggis- og/eða gæðastjóra eða verkefnastjóra
öryggismála. Markmið könnunarinnar var að kanna stöðu og viðhorf til
öryggisstefnu og upplýsingaöryggis hjá íslenskum fyrirtækjum og varpa
ljósi á raunstöðu þessara málefna.
Niðurstöðurnar sýna fram á að íslensk fyrirtæki sem meðhöndla
persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar eru meðvituð um
upplýsingaöryggi og marka öryggisstefnu. Meirihluti þeirra sem markað
hafa öryggisstefnu og eru ekki nú þegar vottuð samkvæmt ISO/IEC 27001
hafa tekið þá ákvörðun að þeir vilji öðlast slíka vottun. Fyrirtæki sem hafa
nú þegar markað öryggisstefnu eru einróma sammála um að mörkun
slíkrar stefnu veiti aukið samkeppnisforskot vegna gæðastarfs, þjónustu,
ímyndar, mikils eftirlits og agaðra vinnubragða. Íslensk fyrirtæki finna fyrir
aukningu á því að erlend fyrirtæki sem þau eiga í samskiptum við geri kröfu
um öryggisstefnu svo að viðskipti geti átt sér stað. Sum erlend fyrirtæki láta
sér nægja að spyrja út í atriði sem eru tengd öryggisstefnu en gera ekki
kröfu um að hún sé mörkuð. Dæmi eru um að íslensk fyrirtæki geri kröfu á
erlenda aðila um öryggisstefnu.
Samkvæmt könnuninni er talið að fyrirtæki á sviði heilbrigðis og
upplýsingatækni þyrftu einna helst að marka öryggisstefnu til að lifa
og dafna á markaði en fast á hæla þeirra voru fyrirtæki á sviði fjármála,
fjarskipta og hugbúnaðar. Einnig var spurt hverskonar starfsemi ætti
að skylda til að marka öryggisstefnu en efstu sætin með afgerandi
svarhlutfalli skipuðu fyrirtæki á sviði heilbrigðis og fjármála. Útfrá svörun
þessara spurninga má draga þá ályktun að flest fyrirtæki sem meðhöndla
persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar þurfi að marka
öryggisstefnu til að lifa og dafna á markaði en einungis þyrfti að gera
öryggisstefnu að skyldu hjá fyrirtækjum á sviði heilbrigðis og fjármála en nú
þegar eru gerðar miklar kröfur á þessar stéttir um öryggi upplýsinga.
Tillögur
Forsendur þess að öryggisstefna virki og beri tilætlaðan árangur er sýnilegur
stuðningur yfirmanna og ábyrgðaraðila við framkvæmd stefnunnar. Besta
forvörn fyrirtækis gegn utanaðkomandi aðilum sem kunna að valda tjóni
eða eyðileggingu er öryggismeðvitund starfsfólks. Því er mál að útbúa
kynningarefni fyrir alla rekstrareigendur og stjórnendur sem meðhöndla
Staða og viðhorf til öryggisstefnu
og upplýsingaöryggis
Könnun meðal íslenskra fyrirtækja á Íslandi
Maríanna Magnúsdóttir,
rekstrarverkfræðingur
Samkvæmt könnuninni er talið að fyrirtæki á
sviði heilbrigðis og upplýsingatækni þyrftu einna
helst að marka öryggisstefnu til að lifa og dafna á
markaði en fast á hæla þeirra voru fyrirtæki á sviði
fjármála, fjarskipta og hugbúnaðar.