Kommunene mangler sikkerhetskultur

Kommunene mangler sikkerhetskultur

De minste er verst, og holdninger er viktigere enn teknologi, viser Norsis-rapport.

Rapporten «Informasjonssikkerhet i nordiske kommuner og fylkeskommuner» har kommet for 2010. Undersøkelsen bekrefter mye av det som allerede er kommet frem i Mørketallsundersøkelsen og i en TNS Gallup-undersøkelse utført for Norsis: Det er en slapp sikkerhetsholdning her i landet. Særlig er det lite fokus på sikkerhetskultur.

- Vi har sett at det er et tema som går igjen, og det er sikkerhetskultur. Det er en del fokus på risikoledelse, men dårligere fokus på sikkerhetsledelse, sier Peggy Heie i Norsis.

Ikke bare teknologi

I Norge har 104 kommuner deltatt i undersøkelsen, som er utført i samarbeid med KINS (Kommunal Informasjonssikkerhet). Computerworld har fått tilgang til et sammendrag av studien som, supplert med undersøkelsen fra 2008, konkluderer med at:

  • Kommuner og fylkeskommunal forvaltning er generelt bedre til å etablere formelle rammer for sikkerhet og gjennomføre tiltak for disse, enn å utføre evaluerende tiltak som kontroller, oppfølgning og formidling i organisasjonen.
  • Det er ikke stor forskjell på innsatsnivået for sikkerhetsområdet mellom organisasjoner på tvers av landene, mens det på enkelte områder er forskjell på hva som prioriteres høyest. For Norges vedkommende har man i lavere omfang enn Danmark og Sverige arbeidet med å etablere sikkerhetspolicy og tilhørende retningslinjer. Til gjengjeld har man kommet lenger i arbeidet med strategi og målfastsettelse.
  • Det er tydelige forskjeller på nivå for informasjonssikkerhet blant organisasjoner som er de beste respondentene i undersøkelsen, og de som har lavest nivå i besvarelsene.
  • De norske organisasjoner opplever brudd på informasjonssikkerheten, ofte har dette tydelige følger for enkeltpersoner og for organisasjonens gjennomføringsevne. Den hyppigste årsaken til sikkerhetsbrudd er medarbeiderenes atferd.

- Undersøkelsen viser at det er viktig å fokusere på bevisstgjøring og holdningsskapende arbeid, ikke bare teknologi. Norsis understreker at teknologi i mange tilfeller ikke er tilstrekkelig til å sikre verdifull eller sensitiv informasjon. Det er mennesket bak tastaturet som er siste skanse i beskyttelsen mot de elektroniske truselene, og ofte er det svakeste leddet i informasjonssikkerhet, sier Heie.

Verst i vest

En vurdering av de norske organisasjonenes informasjonssikkerhetsarbeid viser at det ikke er samsvar når man sammenligner innsatsen for å sikre at medarbeiderne etterlever sikkerhetsregler med innsatsnivået for å fastsette mål og overordnet policy.

Videre deler 80 prosent av de norske organisasjonene seg nesten i to like store grupper. Den ene gruppen har i mindre grad gjennomført formalisering av sikkerhetsarbeid, mens gruppe to har kommet meget langt i arbeidet, heter det i rapporten. Her skiller norge seg ut fra de øvrige landene som har større spredning. «De norske svarene tyder på at en stor del av organisasjonene ikke har etablert rammeverk for informasjonssikkerhet,» kommenterer rapporten.

Beskyttelse av personsensitive opplysninger høy prioritet, selv om det er avvikende tendenser. Les mer på neste side!