– Ledere bør bli bedre på datasikkerhet
Hvis bedrifter og organisasjoner skal klare å beskytte seg, må styremedlemmer og ledere bli flinkere på IKT og datasikkerhet, mener FFI-forsker Ronny Windvik.
Windvik er forskningsleder innen datasikkerhet ved FFI. I fjor bestemte han og kollega Håkon Bergsjø fra Nasjonal sikkerhetsmyndighet (NSM) seg for å gi ut en bok om datasikkerhet spesielt rettet mot styremedlemmer og ledere.
– Hvorfor skrev dere boka?
– I de siste årene synes vi teknologene har blitt flinkere med datasikkerhet, men det samme kan vi dessverre ikke si om ledere. Ledere og styremedlemmer har ofte ikke den nødvendige kompetansen innen IKT og datasikkerhet.
Dette fører gjerne til virksomheten de leder ikke har en felles forståelse for risikoer og sårbarheter, noe som Gjørv-kommisjonen fremhevet som helt sentralt i sikkerhetsarbeidet. Vi tror det nytter for virksomheter å beskytte seg, tross dystre trussel- og risikovurderinger, men da må den nødvendige kompetansen være på plass hos styret og ledere.
– Hva inneholder boka?
– Boka starter med fem grunnleggende kapitler som gir en innføring i datasikkerhet, sikkerhetsledelse, trusler, sårbarheter, verdivurderinger og risikovurderinger.
De påfølgende ni kapitlene tar for seg forskjellige temaer som personvern, e-post, mobiltelefoner og nettbrett, passord, innsidetrussel, reise, tjenesteutsetting, enkle triks, kostnader, hendelseshåndtering og hvor man kan få hjelp.
– Er det noe du vil fremheve som spesielt viktig for ledere?
– Nøkkelen til god datasikkerhet ligger i planleggingen, styringen og gjennomføringen av sikkerhetsarbeidet, noe som dessverre har vært et problem i norske virksomheter i flere år. Vi tror at årsaken til dette har vært mangelfull bevissthet og forankring hos ledere og i styret.
– Hvorfor jobber en FFI-forsker med slike spørsmål?
– Datasikkerhet handler ikke lenger bare om teknologi, men også om ledelsesoppgaver som kulturbygging, kompetanseutvikling, verdivurdering, risikohåndtering, styring, kontroll, kriseledelse og personvern – alt i et landskap fullt av lover og regler.
Mestrer man disse lederoppgavene, sammen med teknologien, mener vi at man er godt skikket til å beskytte egen virksomhet. FFI må altså arbeide med både teknologi og ledelse for å kunne gi helhetlige råd innen datasikkerhet.