En sikkerhetsfilosofi i IT-sammenheng består av et sett med overordnede retningslinjer for hvordan informasjon kan eller skal håndteres i en virksomhet eller bedrift. Når sikkerhetsfilosofien er satt i verk, skal den redusere risikoen for uønskede hendelser, som for eksempel tap av viktig informasjon som følge av utilstrekkelige interne rutiner for håndtering og lagring. Et annet eksempel på uønsket hendelse er uautorisert inntrengning i bedriftens datasystem (hacking), som også vil kunne føre til tap eller lekkasje av sensitiv informasjon.

En del virksomheter behandler eller gjør bruk av informasjon som er beskyttet av offentlige lover og regler, for eksempel medisinske data eller andre personrelaterte data. Disse virksomhetene kan pålegges at informasjonen og systemene som behandler informasjonen skal holde et gitt sikkerhetsnivå, bestemt av myndighetene. Virksomhetens sikkerhetsfilosofi må som et minimum ta hensyn til dette. I tillegg kommer vurderinger som tar hensyn til virksomhetens egne sikkerhetsbehov.

Å utarbeide en helhetlig sikkerhetsfilosofi er bedriftsledelsens ansvar. I en stor og kompleks virksomhet vil de praktiske sikkerhetstiltakene som sikkerhetsfilosofien består i, måtte delegeres nedover i systemet. Ansvaret for å utføre sikkerhetstiltakene ligger ofte hos fagpersoner innen drift og vedlikehold av IT-systemene i de forskjellige delene av virksomheten. Lavere nivåer i bedriftshierarkiet arbeider etter delfilosofier som er avledet fra den overordnede sikkerhetsfilosofien. Til sammen må de ulike tiltakene oppfylle intensjonene i den overordnede sikkerhetsfilosofien.

Organisering av sikkerhetsarbeid i virksomheter begynner med å etablere en sikkerhetsfilosofi for hele organisasjonen som fastslår de grunnleggende prinsippene for sikkerhetsarbeid og –praksis i organisasjonen, inkludert ansvarsområder. Det praktiske arbeidet kan innebære følgende:

  • Innføre et administrativt system for å kunne håndtere endringer og modifiseringer av IKT-systemet (maskinvare, infrastruktur og programvare) for å sikre at systemet holdes konsistent med sikkerhetsfilosofiene på de forskjellige nivåene.
  • Etablere administrative rutiner for å kunne analysere måledata i IKT-systemet og vurdere trusler og sårbarhet.
  • Gjennomføre regelmessige risikovurderinger.
  • Velge forebyggende sikkerhetstiltak som reduserer restrisikoen til et nivå som er tilfredsstillende for organisasjonen.

Sikkerhetsbevissthet hos ansatte på alle nivåer i organisasjonen er kanskje den aller viktigste enkeltmekanismen for å oppnå tilstrekkelig sikkerhet over tid. Regelmessig informasjonsflyt om gjeldende sikkerhetsfilosofi og begrunnelse for hvilke valg som er gjort, er av avgjørende betydning for at brukerne skal akseptere sikkerhetstiltakene og drive aktiv medvirkning. 

Den enkelte virksomhet står ikke alene i arbeidet med å utvikle sikkerhetsrutiner. ISO er en verdensomfattende sammenslutning av nasjonale standardiseringsorganer, og de har gitt ut ISO/IEC-standardene 17799 og 27002, som konkretiserer overordnede retningslinjer for sikkerhetsfilosofi.

ISO/IEC 17799 er utgitt i norsk oversettelse med tittel "Administrasjon av informasjonssikkerhet". ISO/IEC 27002 benyttes av mange bedrifter og organisasjoner som beslutningsstøtte for å velge ut passende sikkerhetstiltak som beskyttelse mot en vurdert trusselsituasjon, samt for å iverksette disse. Standarden kan også benyttes som mal for en bedrift som ønsker å utvikle sin egen sikkerhetsfilosofi. 

Foreslå endringer i tekst

Foreslå bilder til artikkelen

Kommentarer

Har du spørsmål om artikkelen? Skriv her, så får du svar fra fagansvarlig eller redaktør.

Du må være logget inn for å kommentere.