Tölvumál - 01.11.2011, Blaðsíða 41

Tölvumál - 01.11.2011, Blaðsíða 41
T Ö LV U M Á L | 4 1 Upplýsingar eru verðmætustu eignir fyrirtækis í nútíma samfélagi. Það er því góð ástæða til að huga vel að öryggi þeirra. Öryggisstefnu er ætlað að verja upplýsingaeignir fyrir innri og ytri ógnunum hvort sem að þær eru af ásetningi, vegna óhappa eða af slysni og stuðla þannig að upplýsingaöryggi. Lagalegt umhverfi öryggisstefnu er nokkuð skýrt og er þá einna helst stuðst við lög nr. 77/2000 um persónuvernd og meðferð upplýsinga. Til að átta sig betur á samhengi þess hvernig öryggisstefna er uppbyggð þá er það stefnan sjálf sem gefur heildarmyndina, hvert fyrirtækið stefnir og hvaða markmiðum það vill ná. Undirliggjandi er stjórnkerfi sem notað er til að koma fyrirtækinu á þann stað sem stefnan kveður á um og heldur utan um verkferla og verklagsreglur. Verkferlarnir segja til um hvað skal gera og verklagsreglur lýsa því svo hvernig skal framkvæma það. Markmiðið með því að innleiða stjórnkerfi upplýsingaöryggis er að ramma inn verklag við rekstur með betri skjölun, lágmarka áhættu og bæta öryggi almennt; jafnt í rekstri sem og í þjónustu. Alþjóðlegi staðalinn ISO/IEC 27001 skilgreinir kröfur sem settar eru fyrir stjórnkerfi upplýsingaöryggis. Staðallinn hentar fyrirtækjum af öllum stærðargráðum því hægt er að heimfæra og aðlaga hann að hverju og einu fyrirtæki eftir því við hvað það er að fást og á hvaða sviði það starfar. Þegar fyrirtæki fer í að marka öryggisstefnu stillir það upp stjórnkerfi upplýsingaöryggis og innleiðir það. Síðan stendur það frammi fyrir þeirri ákvörðun hvort að það eigi að öðlast vottun samkvæmt ISO/IEC 27001 eða einungis nota ramma staðalsins sem leiðarvísi. Engin skylda er að öðlast vottun á sviði upplýsingaöryggis en æ fleiri ganga í gegnum það ferli þar sem sýnt hefur verið fram á að það veiti fyrirtækjum samkeppnisforskot, rekstrarávinning og heilbrigt stjórnkerfi. Gagnrýnisraddir telja ferlið við að öðlast vottun krefjast mikillar, ógagnlegrar og tímafrekrar skjölunarvinnu. Hinsvegar líta þau fyrirtæki sem hafa öðlast vottun á þetta ferli sem fjárfestingu en ekki kostnað. Könnun 2011 Gerð var könnun meðal íslenskra fyrirtækja á Íslandi á stöðu og viðhorfi til öryggisstefnu og upplýsingaöryggis árið 2011. Leitað var til 44 fyrirtækja en einungis 13 fyrirtæki vildu taka þátt og svöruðu spurningum af spurningalista sem gerður var sérstaklega fyrir þessa könnun. Ýmist var rætt við framkvæmdarstjóra, öryggis- og/eða gæðastjóra eða verkefnastjóra öryggismála. Markmið könnunarinnar var að kanna stöðu og viðhorf til öryggisstefnu og upplýsingaöryggis hjá íslenskum fyrirtækjum og varpa ljósi á raunstöðu þessara málefna. Niðurstöðurnar sýna fram á að íslensk fyrirtæki sem meðhöndla persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar eru meðvituð um upplýsingaöryggi og marka öryggisstefnu. Meirihluti þeirra sem markað hafa öryggisstefnu og eru ekki nú þegar vottuð samkvæmt ISO/IEC 27001 hafa tekið þá ákvörðun að þeir vilji öðlast slíka vottun. Fyrirtæki sem hafa nú þegar markað öryggisstefnu eru einróma sammála um að mörkun slíkrar stefnu veiti aukið samkeppnisforskot vegna gæðastarfs, þjónustu, ímyndar, mikils eftirlits og agaðra vinnubragða. Íslensk fyrirtæki finna fyrir aukningu á því að erlend fyrirtæki sem þau eiga í samskiptum við geri kröfu um öryggisstefnu svo að viðskipti geti átt sér stað. Sum erlend fyrirtæki láta sér nægja að spyrja út í atriði sem eru tengd öryggisstefnu en gera ekki kröfu um að hún sé mörkuð. Dæmi eru um að íslensk fyrirtæki geri kröfu á erlenda aðila um öryggisstefnu. Samkvæmt könnuninni er talið að fyrirtæki á sviði heilbrigðis og upplýsingatækni þyrftu einna helst að marka öryggisstefnu til að lifa og dafna á markaði en fast á hæla þeirra voru fyrirtæki á sviði fjármála, fjarskipta og hugbúnaðar. Einnig var spurt hverskonar starfsemi ætti að skylda til að marka öryggisstefnu en efstu sætin með afgerandi svarhlutfalli skipuðu fyrirtæki á sviði heilbrigðis og fjármála. Útfrá svörun þessara spurninga má draga þá ályktun að flest fyrirtæki sem meðhöndla persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar þurfi að marka öryggisstefnu til að lifa og dafna á markaði en einungis þyrfti að gera öryggisstefnu að skyldu hjá fyrirtækjum á sviði heilbrigðis og fjármála en nú þegar eru gerðar miklar kröfur á þessar stéttir um öryggi upplýsinga. Tillögur Forsendur þess að öryggisstefna virki og beri tilætlaðan árangur er sýnilegur stuðningur yfirmanna og ábyrgðaraðila við framkvæmd stefnunnar. Besta forvörn fyrirtækis gegn utanaðkomandi aðilum sem kunna að valda tjóni eða eyðileggingu er öryggismeðvitund starfsfólks. Því er mál að útbúa kynningarefni fyrir alla rekstrareigendur og stjórnendur sem meðhöndla Staða og viðhorf til öryggisstefnu og upplýsingaöryggis Könnun meðal íslenskra fyrirtækja á Íslandi Maríanna Magnúsdóttir, rekstrarverkfræðingur Samkvæmt könnuninni er talið að fyrirtæki á sviði heilbrigðis og upplýsingatækni þyrftu einna helst að marka öryggisstefnu til að lifa og dafna á markaði en fast á hæla þeirra voru fyrirtæki á sviði fjármála, fjarskipta og hugbúnaðar.

x

Tölvumál

Beinir tenglar

Ef þú vilt tengja á þennan titil, vinsamlegast notaðu þessa tengla:

Tengja á þennan titil: Tölvumál
https://timarit.is/publication/239

Tengja á þetta tölublað:

Tengja á þessa síðu:

Tengja á þessa grein:

Vinsamlegast ekki tengja beint á myndir eða PDF skjöl á Tímarit.is þar sem slíkar slóðir geta breyst án fyrirvara. Notið slóðirnar hér fyrir ofan til að tengja á vefinn.