Sikkerhet i skyen – et lederansvar

Digital sikkerhet er noe som angår alle norske virksomheter, både store og små. Selv om sikkerheten ikke kan ivaretas med mindre alle gjør sin del av jobben, er det til syvende og sist lederens ansvar å sørge for tilstrekkelig IT-sikkerhet. 

En god sikkerhetskultur danner grunnlaget 

Sikkerhet i skyen begynner med en god sikkerhetskultur i virksomheten generelt. Som leder er du ansvarlig for at alle dine ansatte tar sikkerhet på alvor og viser en sunn skepsis når dokumenter og annen intern informasjon skal deles med eksterne parter. I tillegg må det opprettes en kultur hvor det er naturlig å varsle dersom det oppstår mistanker om sikkerhetsbrudd eller uønskede avvik. 

En nødvendig og god sikkerhetskultur kan ikke eksistere uten en informasjonsflyt som sikrer at alle ansatte, mellomledere og ledere er på «samme nivå». De må med andre ord ha et felles kunnskapsgrunnlag som de kan basere sine beslutninger og vurderinger på. Sikkerhetskulturen avhenger også av at det finnes gode rutiner og prosesser for hvordan de ansatte skal varsle og hvem de skal kontakte dersom de har behov for mer informasjon eller opplæring. 

Opprett rutiner for tilstrekkelig internopplæring 

Sikkerhetskulturen er en grunnleggende del av hele virksomheten og bør gripe inn i alle avgjørelser som tas, uavhengig av nivå og avdelingstilhørighet. I den forbindelse er det viktig å understreke at det er lederens ansvar for at de ansatte får tilstrekkelig opplæring. 

Tall fra Nasjonal sikkerhetsmyndighet (NSM) viser at 80–90 % av alle dataangrep kan unngås ved å innføre noen få, enkle grep. De fire mest effektive grepene du som leder kan gjennomføre er å sikre at alle ansatte 

• har oppgradert program- og maskinvare 
• har installert de nyeste sikkerhetsoppdateringene 
• får ikke-autoriserte programmer blokkert 
• ikke har administratorrettigheter de ikke trenger 

Dersom de ansatte har tilstrekkelig forståelse for hvilke tiltak som er kritiske, hvorfor dette er viktig og hvordan de kan varsle dersom noe ikke er som det skal, vil sikkerheten i virksomheten din øke betraktelig. Derfor er internopplæring et kritisk viktig tiltak for å oppnå sikkerhet i skyen. I tillegg er det en fordel om de ansatte har en viss forståelse for hvilke angrep de og virksomheten som helhet kan bli utsatt for. 

Men hvordan sikrer du tilstrekkelig opplæring av de ansatte? Det er først og fremst viktig at dette forankres i virksomhetens overordnede IT-strategi. Her bør det defineres hvilken avdeling som skal administrere opplæringen og hvordan dette skal gjøres, i tillegg til at det må bevilges tilstrekkelig med midler. 

Les mer: Slik ivaretar Advania din sikkerhet når hele forretningen er i skyen. 

Retningslinjer for deling av informasjon 

I tillegg til en god sikkerhetskultur og tilfredsstillende internopplæring må du som leder sørge for at det finnes etablerte og tydelige governance-modeller, retningslinjer og rammeverk for hvordan data skal kommuniseres internt og eksternt i virksomheten. Dersom alle i virksomheten er innforstått med retningslinjene øker sannsynligheten for at de vil forholde seg til dem og varsle tidlig dersom det skulle oppstå avvik. 

Dette gjelder også hvilke tilganger og muligheter hver enkelt ansatt har til å redigere, dele og administrere intern data. Ved å begrense mulighetene hver enkelt bruker har til å dele informasjon øker du virksomhetens sikkerhet. Dette kan du begrense helt ned på dokument-nivå. 

Sikkerhetstiltakene gjelder også mindre virksomheter 

I tråd med at virksomheten må ha god sikkerhetskultur slik at de ansatte har for vane å varsle dersom de oppdager et avvik, må du som leder også sørge for at det finnes gode rutiner for varsling av uønskede hendelser og gode kontrollrutiner for å sikre at dette unngås. Dette gjelder også mindre virksomheter med opptil ti ansatte. Virksomheter av denne størrelsen har som regel ikke like utarbeide rutiner og prosesser som større bedrifter har, fordi det antas at virksomheten er så transparent at det ikke er behov for dokumenterte rutiner. I tillegg ser vi at det av ulike grunner som regel ikke settes av like mye ressurser til opplæring i mindre virksomheter. 

Det er viktig å understreke at sikkerhet er like viktig i mindre virksomheter som i det er i store. Data er i like stor grad utsatt for angrep, uavhengig av hvor store mengder det er. I tillegg kan sannsynligheten for at mindre virksomheter blir utsatt for angrep øke nettopp fordi angriperen vet at virksomheter av den størrelsen som regel ikke har gode kontrollrutiner. 

Slik sikrer du sikkerhet i skyen 

Sikkerhet i skyen er med andre ord et kontinuerlig arbeid. Hver gang det kommer en ny ansatt, hver gang det legges en ny IT-strategi og hver gang dere oppdaterer IT-miljøet, må sikkerhetsløsningene gjennomgås og ivaretas. I tillegg er det viktig at det er definert en tydelig ansvarsfordeling, slik at alle er klar over sin rolle og forvalter den godt. 

Dersom du opplever at dere ikke har god nok sikkerhet i virksomhetens skyløsninger, eller du har et ønske om å forbedre denne, skal jeg gi deg noen konkrete forslag til hvordan du kan gå i gang med arbeidet. 

1. Gå gjennom alle tilganger 
2. Oppdater og begrens administrasjonsrettigheter 
3. Sørg for å forankre sikkerhet i neste års IT-strategi 
4. Opprett tydelige retningslinjer og prosesser 
5. Legg en plan for internopplæring av alle ansatte 
6. Spre informasjon og skap en god sikkerhetskultur  

I Nasjonal strategi for digital sikkerhet understreker regjeringen at digital sikkerhet er et felles ansvar for alle, både privatpersoner og virksomheter. Derfor er det viktig at du som leder er klar over ditt ansvar og tar det på alvor, ved blant annet å innføre noen av rutinene som har blitt nevnt i denne artikkelen. Dersom det er behov for bistand er det også mulig å involvere fagpersoner i dette arbeidet.