Sendte sjefen direkte på kurs

Sendte sjefen direkte på kurs

Da rederiet Wallenius Wilhelmsens fikk ny konsernsjef, måtte han på to timers kurs hos it-sikkerhetsanvarlig John Arild Johansen.
-- Begynn med toppledelsen. Skrem dem med eksempler fra bedrifter som ikke har tatt it-sikkerhet på alvor. Samtidig må du sørge for å ha en plan for å sette i verk de nødvendige tiltakene, sier John Arild Johansen.

Johansen er ansvarlig for it-sikkerhet i Wallenius Wilhelmsen. Det norsk-svenske rederiet, eid av Wilh. Wilhelmsen og Wallenius Lines, har 3.000 ansatte på fem kontinenter. I fjor fraktet rederiets skip over to millioner biler til sjøs, mens 1,5 millioner biler ble fraktet langs landeveien.

Tenker seg om

-- Bruk en halvtime på å briefe topp-sjefen og teamet rundt vedkommende. Ta gjerne med ekstern hjelp, slik at behovet for it-sikkerhet blir belyst best mulig, sier sikkerhetssjefen.

Johansen deltar jevnlig på avdelingsmøter og andre samlinger i linjen. Gjennom små drypp holdes oppmerksomheten rundt it-sikkerhet oppe. Forankring i toppledelsen gjør at linjeledelsen ikke fristes til å nedprioritere it-sikkerhet i en hektisk hverdag.

De ansatte i Wallenius Wilhelmsen har fått tildelt en folder som beskriver selskapets sikkerhets-politikk, og alle nyansatte må på kurs for å lære å oppføre seg i henhold til policyen. Ingen slipper unna

-- Da Nils P. Dyvik ble ansatt som administrere direktør måtte han, som alle andre, på to timers kurs med meg, sier Johansen.

Erfaringene tilsier at kursingen hjelper. Ledelsen og de andre ansatte tenker seg om to ganger når de er i ferd med å gjøre noe som kan utgjøre en sikkerhetsrisiko. Er de i tvil, tar de kontakt.

Forretningsprosesser

Selskapets egne ansatte utgjør den største trusselen mot å sikre konfidensialitet, integritet og tilgjengelighet, som er målene i alt it-relatert sikkerhetsarbeid.

I sikkerhetsmiljøer snakker man gjerne om at it-sikkerhet består av 20 prosent teknologi og 80 prosent menneskelige faktorer.

Ifølge Wallenius Wilhelmsens sikkerhetssjef er en vellykket kobling mellom det it-relaterte sikkerhetsarbeidet og bedriftens forretningsprosesser, kritisk for om sikkerheten blir god. Dersom it-systemene faller ut eller informasjon blir manipulert, kan det rett og slett true bedriftens eksistens.

-- Utfordringen er å synliggjøre sammenhengen mellom it og forretningsprosessene, sier Johansen.

Ofte kan avisforsider være et godt hjelpemiddel. Ukentlig har dagsavisene oppslag som viser hvordan manglende informasjonssikkerhet får økonomiske konsekvenser.

Sosial manipulering

Wallenius Wilhelmsen er sertifisert i henhold til ISOs kvalitetsstandarder. Det gir Johansen og de andre som arbeider med it-sikkerhet tilgang til pressmidler som kan være gode å ha. Prosesser rundt it-sikkerhet er nemlig noe av det kvalitetsrevisorene, men også finansielle revisorer, ser nærmere på.

Å kunne ha ris bak speilet er viktig for alle sikkerhetsansvarlige. Regelverket må gi klar beskjed om hva gjentatte brudd på reglene vil føre til.

De menneskelige truslene mot it-sikkerhet dreier seg ikke bare om å åpne virusbefengte vedlegg, eller å bruke for enkle passord. Sosial manipulering, altså at folk kommer inn i bedriften og utgir seg for å være andre enn de er, begynner også å bli mer utbredt.

Hos Wallenius Wilhelmsen har man leid inn folk som fikk i oppgave å drive sosial manipulering for å få tak i informasjon. Heldigvis lykkes de ikke. Det kan tyde på at rederiet har gjort noe riktig, uten at det gir grunn til å hvile på laurbærene.

Kontinuerlig markedsføring er viktig. It-sikkerhetssjefen må være synlig.

-- Jeg hadde ikke hatt nubbtjangs uten å skrike og hoje overalt, understreker John Arild Johansen.