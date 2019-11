Mange norske virksomheter er sertifisert i henhold til én eller flere standarder, men få innenfor informasjonssikkerhet. Sertifiseringen øker virksomhetens effektivitet, og bidrar til kontinuerlige forbedringer. Nytten ved sertifisering, kombinert med konsekvensene av dataangrep, gjør det underlig at så få norske virksomheter har sertifisert noe så viktig som sikkerheten for virksomhetens informasjon.

Per Ove Øyberg. Foto: Nemko Group

Så å si alle virksomheter har digital informasjon som kan svekke virksomheten eller i verste fall føre til konkurs om informasjonen stjeles, sperres eller deles. Trusselbildet blir stadig vanskeligere å forutse, og selv store bedrifter, som Hydro, har erfart angrep som har stoppet driften og kostet bedriften dyrt.

Innføringen av GDPR satte i gang mye arbeid tilknyttet innsamling, behandling og lagring av personopplysninger. I sum har både alvorlige hendelser og strengere lovverk bidratt til et høynet sikkerhetsnivå i mange norske virksomheter. Til tross for dette har det vært stilt relativt få krav om et ledelsessystem for informasjonssikkerhet fra styrer, ledelse eller kunder. Dette bildet snur nå, i tråd med økende forståelse for at informasjonssikkerhet er et forretningsmessig problem, ikke bare et IT-problem. I arbeidet med å etablere et godt system for å sikre egne og kunders informasjonsaktiva er den internasjonale standarden for informasjonssikkerhet, ISO 27001, et godt redskap.

I Norge er det 74 virksomheter, de fleste av dem er IT-selskaper, som er sertifisert innen informasjonssikkerhet

Mange norske virksomheter hevder å ha rutiner som er i henhold til denne standarden, og anser sertifisering som unødvendig. I Norge er det 74 virksomheter, de fleste av dem er IT-selskaper, som er sertifisert innen informasjonssikkerhet. Til sammenligning har vi cirka 10.000 virksomheter med mer enn 50 ansatte bare i privat sektor, hvorav langt de fleste behandler kritisk informasjon.

En sertifisering er ikke en beskyttelse mot at kriminelle tar seg inn i systemet til selskapet, men arbeidet med den stenger de aller fleste dørene

Ingen virksomheter kan i dag sikre seg 100 prosent mot digitale angrep og tyveri. Det derimot alle kan gjøre er å arbeide for at sårbarheten blir redusert. Det gjør en virksomhet gjennom etablering, drift, overvåking, evaluering og kontinuerlig forbedring av ledelsessystemet for informasjonssikkerhet.

En sertifisering er ikke en beskyttelse mot at kriminelle tar seg inn i systemet til selskapet, men arbeidet med den stenger de aller fleste dørene. Derfor bør ledergrupper og styrer sette virksomhetens informasjonssikkerhet på dagsorden. I tillegg til fortløpende å vurdere risikoen, bør vi ha et bevisst forhold til hvorvidt vi bør sertifisere vår informasjonssikkerhet. En sertifisering kan være den beste investeringen virksomheten gjør, både for å styrke interne prosesser og for å forberede seg for en fremtid hvor dette kommer til å bli en forutsetning for å drive samhandel med andre.

Per Ove Øyberg

Adm. direktør i Nemko Group

(Nemko Group er en leverandør av sertifiseringstjenester. Red.)