Nå har det kommet en norsk bok som skal kunne gi blant annet ledere og styremedlemmer et bedre grunnlag til å finne løsninger for styrket datasikkerhet i samarbeid med interne og eksterne ressurser. Boken heter ganske enkelt «Datasikkerhet for ledere». Den skal være lettlest, er på drøyt 200 sider og kan også fungere som oppslagsverk når hendelsene først har inntruffet.
NorCERT og FFI
Boken er skrevet av Håkon Bergsjø og Ronny Windvik. Bergsjø er leder for Norges nasjonale cybersenter, NorCERT, som er den operative delen av Nasjonal sikkerhetsmyndighet (NSM).
Windvik er forskningsleder innen data- og telenettsikkerhet ved Forsvarets forskningsinstitutt (FFI).
– Flere utvalg, som Lysne I, har pekt på behovet for at ledere må ha tilstrekkelig kompetanse og verktøy for å ivareta datasikkerheten i egen organisasjon. Vi har også samme erfaring, når vi har vært rundt og jobbet med organisasjoner innen datasikkerhet. Gjengangeren fra oss har vært at vi tror det nytter å beskytte organisasjonen med tiltak på alle nivåer – bare litt kan hjelpe veldig mye. I de siste årene synes vi teknologene har blitt flinkere med datasikkerhet, men det samme kan vi dessverre ikke si om ledere, svarer Windvik på digi.nos spørsmål om hvorfor det er behov for denne boken.
Flest mulig
Om målgruppen, altså ledere, forteller Windvik at det under arbeidet med boken har blitt tenkt mye på spørsmålet «Hva er en leder?»
– Vi kom frem til at siden alle ledere har ansvaret for datasikkerheten innenfor det området de leder, så har vi forsøkt oss på å gå bredt og treffe flest mulig ledere på alle nivåer i store og små organisasjoner. Det er tross alt de som kontrollerer ressursene og kan prioritere inn datasikkerhetsarbeid, forteller han.
– Vi har da forsøkt å bidra med «nok» kompetanse og «nok» tips om prosess/verktøy til at lederne kan styre og kontrollere datasikkerheten. Vi har forsøkt oss på et lettlest språk og å være rettet mot lederes utfordringer.
Ifølge Windvik gjelder dette blant annet en metode for verdivurdering som foreslås i bokens kapittel om kartlegging og vurdering av verdier.
– Vi håper at en leder blant annet kan spørre de riktige spørsmålene og bygge en god sikkerhetskultur innenfor sitt ansvarsområde, etter å ha lest boka, forteller Windvik.
Ved hendelser
Boken består av fem grunnleggende kapitler og en rekke temakapitler, blant annet om reise, personvern og hendelseshåndtering. Ifølge Windvik skal temakapitlene blant annet raskt kunne gi svar når ting faktisk dukker opp, for hvordan man kan møte offentligheten når et datainnbrudd har rammet organisasjonen.
Selv mener Windvik at leverandørstyring, personvern, hendelseshåndtering og innsidetrusselen er spesielt viktige områder i boken, i tillegg til det som må gjøres for å gjennomføre en risikovurdering, noe de fem innledende kapitlene dekker.
Har forhåpentligvis blitt bedre: Over halvparten av norske bedriftsledere tror at GDPR ikke angår deres virksomhet