Advania logo
    Kontakt oss
    Gå tilbake

    Informasjonssikkerhet

    Informasjonssikkerhet handler om å beskytte all informasjon, både digital og fysisk, slik at den er konfidensiell, korrekt og tilgjengelig når den trengs. For å oppnå god informasjonssikkerhet må virksomheter arbeide helhetlig og målrettet med både tekniske, organisatoriske og menneskelige tiltak.

    Vi kan hjelpe deg med å bli mer motstandsdyktig! Ta kontakt med oss for en uforpliktende prat. 

    Hvorfor er informasjonssikkerhet viktig?

    Alle virksomheter er avhengige av informasjon for å levere tjenester, ta beslutninger og opprettholde tillit. Manglende informasjonssikkerhet og sikkerhetsbrudd kan føre til økonomiske tap, omdømmeskader og driftsstans. Målet til informasjonssikkerhet er derfor å beskytte verdier og sikre kontinuitet i en verden med økende digitale trusler.

    Hvordan bør virksomheter jobbe med informasjonssikkerhet?

    Dagens trusselbilde er komplekst, og denne kompleksiteten kommer til å øke i årene fremover. Det er derfor essensielt at virksomheter opparbeider seg motstandsdyktighet som reduserer sannsynligheten for og konsekvensen av sikkerhetsbrudd, enten de skyldes menneskelige feil, tekniske sårbarheter eller målrettede angrep. Enkelt sagt bør virksomheter:

    1. Forankre sikkerhet i ledelsen og integrere det i strategien.
    2. Jobbe risikobasert: identifisere og håndtere trusler før de blir hendelser.
    3. Bygge sikkerhetskultur: opplæring og bevisstgjøring hos alle ansatte slik at de får et eierskap til informasjonssikkerhet og forstår hva som er forventet av dem.
    4. Etablere klare rutiner for eksempel for tilgangsstyring, hendelseshåndtering og rapportering av avvik.
    5. Implementere tekniske sikkerhetstiltak tilpasset virksomheten: som flerfaktorautentisering, sikkerhetskopiering av data, endepunktsikring, identitets- og tilgangsstyring, kryptering og overvåking, m.m.

    God informasjonssikkerhet er en kontinuerlig prosess som kombinerer mennesker, prosesser og teknologi for å beskytte virksomhetens verdier.

    Les mer om hvordan vi kan hjelpe med informasjonssikkerhet. 

    Hva er forskjellen mellom datasikkerhet og informasjonssikkerhet?

    Datasikkerhet beskriver de tekniske kontrollene som beskytter IT systemer og data, for eksempel endepunktbeskyttelse, kryptering, sikkerhetskopi og sårbarhetsstyring/patching.

    Informasjonssikkerhet er bredere og omfatter også styring og organisering, roller og ansvar, opplæring og kultur, risikostyring og hendelseshåndtering.

    Kort sagt: datasikkerhet er en del av informasjonssikkerhet, men informasjonssikkerhet dekker også organisatoriske og menneskelige aspekter som er like viktige for å beskytte virksomhetens verdier.

    Hvem har ansvar for informasjonssikkerhet?

    Ansvaret for informasjonssikkerhet hviler på alle nivå i organisasjonen:

    Ledelsen har det overordnede ansvaret for å etablere rammer, forankre arbeidet i virksomhetens strategi, prioriterer ressurser og følger opp mål og etterlevelse. Ledelsen må også kommunisere viktigheten av sikkerhet til alle ansatte.

    IT avdelingen bygger og drifter tekniske kontroller og støtter virksomheten.

    Hver ansatt har et personlig ansvar for å håndtere informasjon riktig i hverdagen, følgee retningslinjer og rapportere mistenkelige forhold eller sikkerhetsbrudd. Sikkerhet fungerer best når alle bidrar.

    Hva er hovedprinsippene i informasjonssikkerhet?

    Hovedprinsippene i informasjonssikkerhet beskriver hva som må beskyttes for at informasjon skal være trygg og brukbar. Disse prinsippene danner grunnlaget for alt sikkerhetsarbeid i en virksomhet, og refereres ofte til som CIA-triangelet:

    Konfidensialitet (confidentiality) betyr at informasjon bare er tilgjengelig for personer som har lov til å se den. Målet er å hindre innsyn fra uvedkommende.

    Integritet (integrity) betyr at informasjonen er korrekt, hel og ikke endret utilsiktet eller uautorisert. Den skal være til å stole på.

    Tilgjengelighet (availability) betyr at autoriserte brukere har tilgang til informasjon og systemer når de trenger det. Informasjonen skal være tilgjengelig og brukbar.

    Informasjonssikkerhet bygger på disse tre prinsippene ved å sørge for at informasjon alltid er beskyttet, pålitelig og tilgjengelig i virksomhetens arbeid. Når konfidensialitet, integritet og tilgjengelighet ivaretas samtidig, skaper det et helhetlig og robust sikkerhetsnivå. Prinsippene bør balanseres ut fra virksomhetens behov og risiko.

    Hvordan sikrer vi informasjonen i praksis?

    God sikkerhet skapes ved at mennesker, prosesser og teknologi virker sammen.

    Ansatte må kjenne forventningene, få regelmessig opplæring og forstå hvorfor tiltakene finnes. Kontinuerlig opplæring og bevisstgjøring er essensielt for å bygge en god sikkerhetskultur.

    Virksomheten trenger klare og tydelige rutiner for blant annet klassifisering av informasjon, identitets og tilgangsstyring (IAM), minste privilegium, passord/prinsipper for passordfrase, deling, og håndtering og rapportering av hendelser. Rutinene må være forankret i ledelsen og kjent for alle ansatte.

    Teknologien må støtte rutinene med tiltak som flerfaktorautentisering (MFA), sårbarhetsstyring og patching, kryptering, sikkerhetskopi og gjenoppretting som er testet jevnlig, overvåking og logganalyse (for eksempel via SIEM), samt endepunkt og e-postbeskyttelse.

    Det er lurt å tenke «zero trust»: verifiser eksplisitt, gi minst mulig tilgang, og anta at brudd kan skje.

    Hvilke rutiner bør alle ansatte følge for å ivareta god informasjonssikkerhet?

    For å beskytte virksomheten må alle ansatte:​

    • Bruke sterke, unike passord – gjerne passordfrase – og aktivere MFA der det er mulig.
    • Ikke dele eller gjenbruke passord.
    • Være kritiske til uventede lenker og vedlegg (phishing og sosial manipulering), og rapportere raskt hvis noe virker mistenkelig.
    • Oppdatere enheter og programvare, være forsiktig på åpne WiFi nett (bruk godkjent tilkobling/VPN), og lagre kun i godkjente løsninger.
    • Alltid følge virksomhetens regler for klassifisering og deling av informasjon.

    Hva er en god sikkerhetskultur?

    En god sikkerhetskultur handler om hvordan medarbeidere faktisk oppfører seg i hverdagen når de håndterer informasjon, systemer og utstyr. Det betyr at sikkerhet ikke bare er regler og prosedyrer, men en naturlig og integrert del av måten virksomheten jobber på.

    Kjennetegn på en god sikkerhetskultur:

    • Ansatte forstår sitt ansvar og tar gode sikkerhetsvalg i praksis.
    • Sikkerhet er en naturlig del av arbeidsoppgaver, ikke noe ekstra ved siden av.
    • Rutiner og retningslinjer etterleves i det daglige.
    • Det er lav terskel for å rapportere hendelser, avvik og nesten-hendelser.
    • Ledelsen viser tydelig at sikkerhet er viktig og går foran med et godt eksempel.
    • Opplæring, bevisstgjøring og kontinuerlig forbedring prioriteres.

    Ledelsens rolle er avgjørende for å etablere og styrke en god sikkerhetskultur. Ledelsen må kommunisere forventninger, tilrettelegge for opplæring og sikre at sikkerhetsarbeidet er en del av virksomhetens strategi og beslutningsgrunnlag.

    Hvordan vurderer vi om informasjonssikkerheten er god nok?

    Det er viktig å kontinuerlig gjennomgå rutiner, prosesser og tekniske løsninger for å sikre at sikkerhetsnivået holder tritt med den teknologiske utviklingen og gjeldende trusselbilde.​

    Metoder for vurdering:​

    • Gjennomføre regelmessige risikovurderinger.
    • Utføre sårbarhetstester og penetrasjonstester.
    • Implementere og vedlikeholde systemer som logger og overvåker aktivitet.
    • Gjennomføre interne og eksterne revisjoner.
    • Kartlegge sikkerhetskulturen i organisasjonen.
    • Basere et styringssystem for informasjonssikkerhet på anerkjente internasjonale standarder som ISO 27001.

    Vurderingen må ta hensyn til virksomhetens risikotoleranse basert på verdien av informasjonen som skal beskyttes, potensielle konsekvenser av et sikkerhetsbrudd, og virksomhetens evne til å håndtere hendelser.​

    Hvordan kan Advania hjelpe med informasjonssikkerhet?

    Advania tilbyr en komplett portefølje av sikkerhetstjenester, fra strategisk rådgivning til operasjonell drift, for å beskytte virksomhetens verdifulle data og systemer. Våre tjenester omfatter:

    Hvor begynner man hvis man vil forstå informasjonssikkerhet bedre?

    Det viktigste er å kjenne til virksomhetens rutiner, bruke sikre innloggingsmetoder og lagre informasjon i godkjente løsninger. I tillegg er det nyttig å være oppmerksom på uvanlig aktivitet og stille spørsmål hvis noe virker merkelig. Når du forstår disse grunnprinsippene, har du et solid utgangspunkt for å bygge videre kunnskap.

    Hva skjer hvis informasjonssikkerheten svikter?

    Hvis informasjon ikke beskyttes, kan det føre til tap av data, feil i systemer, driftsstans eller at sensitiv informasjon kommer på avveie. Det kan påvirke både ansatte, kunder og virksomhetens drift. Konsekvensene kan være økonomiske tap, omdømmeskade eller redusert tillit. Derfor er gode rutiner og bevissthet viktig i det daglige arbeidet.

    Hvordan henger informasjonssikkerhet sammen med virksomhetens mål?

    God informasjonssikkerhet støtter virksomhetens mål ved å sikre stabil drift, bedre kvalitet og mer forutsigbare arbeidsprosesser. Når informasjonen er trygg og tilgjengelig, kan virksomheten jobbe effektivt, levere gode tjenester og redusere risikoen for avbrudd som påvirker kunder eller ansatte.

    Hvilken type informasjon skal beskyttes?

    Informasjonssikkerhet gjelder all informasjon virksomheten bruker i arbeidet: dokumenter, e-poster, kundedata, avtaler, interne planer og innstillinger i systemer. Det gjelder også muntlig informasjon og fysiske dokumenter.

    Kort sagt: alt som er viktig for virksomheten eller kundene skal håndteres og beskyttes på en trygg måte.

    Hvordan henger informasjonssikkerhet sammen med risiko?

    Informasjonssikkerhet handler om å tenke gjennom hva som kan gå galt, hvor sannsynlig det er, og hvilke konsekvenser det kan få. Deretter setter man inn tiltak for å redusere risikoen så mye som nødvendig. Målet er ikke å fjerne all risiko, men å ha et nivå som virksomheten kan leve med. Dette kalles risikobasert tilnærming.

    Er informasjonssikkerhet bare et IT-ansvar?

    Nei. IT-avdelingen setter opp og drifter de tekniske løsningene, men informasjonssikkerhet er et felles ansvar for alle. Ledelsen bestemmer retning og prioriteringer, mens ansatte følger rutiner og tar gode valg i hverdagen. Sikkerhet fungerer best når alle bidrar med sitt.

     

    Trenger du hjelp med sikre din informasjon og systemer? Vi kan hjelpe! Ta kontakt med oss!

     

    SJEKKLISTE FOR SIKKERHET I MICROSOFT 365

    Har du kontroll på sikkerheten i din virksomhet?

    Få en oversiktlig guide her!