Upplýsingar eru verðmætustu eignir fyrirtækis í nútíma samfélagi. Það er því góð ástæða til að huga vel að öryggi þeirra. Öryggisstefnu er ætlað að verja upplýsingaeignir fyrir innri og ytri ógnunum hvort sem að þær eru af ásetningi, vegna óhappa eða af slysni og stuðla þannig að upplýsingaöryggi. Lagalegt umhverfi öryggisstefnu er nokkuð skýrt og er þá einna helst stuðst við lög nr. 77/2000 um persónuvernd og meðferð upplýsinga.

Til að átta sig betur á samhengi þess hvernig öryggisstefna er uppbyggð þá er það stefnan sjálf sem gefur heildarmyndina, hvert fyrirtækið stefnir og hvaða markmiðum það vill ná. Undirliggjandi er stjórnkerfi sem notað er til að koma fyrirtækinu á þann stað sem stefnan kveður á um og heldur utan um verkferla og verklagsreglur. Verkferlarnir segja til um hvað skal gera og verklagsreglur lýsa því svo hvernig skal framkvæma það. Markmiðið með því að innleiða stjórnkerfi upplýsingaöryggis er að ramma inn verklag við rekstur með betri skjölun, lágmarka áhættu og bæta öryggi almennt; jafnt í rekstri sem og í þjónustu.

Alþjóðlegi staðalinn ISO/IEC 27001 skilgreinir kröfur sem settar eru fyrir stjórnkerfi upplýsingaöryggis. Staðallinn hentar fyrirtækjum af öllum stærðargráðum því hægt er að heimfæra og aðlaga hann að hverju og einu fyrirtæki eftir því við hvað það er að fást og á hvaða sviði það starfar. Þegar fyrirtæki fer í að marka öryggisstefnu stillir það upp stjórnkerfi upplýsingaöryggis og innleiðir það. Síðan stendur það frammi fyrir þeirri ákvörðun hvort að það eigi að öðlast vottun samkvæmt ISO/IEC 27001 eða einungis nota ramma staðalsins sem leiðarvísi. Engin skylda er að öðlast vottun á sviði upplýsingaöryggis en æ fleiri ganga í gegnum það ferli þar sem sýnt hefur verið fram á að það veiti fyrirtækjum samkeppnisforskot, rekstrarávinning og heilbrigt stjórnkerfi. Gagnrýnisraddir telja ferlið við að öðlast vottun krefjast mikillar, ógagnlegrar og tímafrekrar skjölunarvinnu. Hinsvegar líta þau fyrirtæki sem hafa öðlast vottun á þetta ferli sem fjárfestingu en ekki kostnað. Könnun 2011

Gerð var könnun meðal íslenskra fyrirtækja á Íslandi á stöðu og viðhorfi til öryggisstefnu og upplýsingaöryggis árið 2011. Leitað var til 44 fyrirtækja en einungis 13 fyrirtæki vildu taka þátt og svöruðu spurningum af spurningalista sem gerður var sérstaklega fyrir þessa könnun. Ýmist var rætt við framkvæmdarstjóra, öryggis- og/eða gæðastjóra eða verkefnastjóra öryggismála. Markmið könnunarinnar var að kanna stöðu og viðhorf til öryggisstefnu og upplýsingaöryggis hjá íslenskum fyrirtækjum og varpa ljósi á raunstöðu þessara málefna.

Niðurstöðurnar sýna fram á að íslensk fyrirtæki sem meðhöndla persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar eru meðvituð um upplýsingaöryggi og marka öryggisstefnu. Meirihluti þeirra sem markað hafa öryggisstefnu og eru ekki nú þegar vottuð samkvæmt ISO/IEC 27001 hafa tekið þá ákvörðun að þeir vilji öðlast slíka vottun. Fyrirtæki sem hafa nú þegar markað öryggisstefnu eru einróma sammála um að mörkun slíkrar stefnu veiti aukið samkeppnisforskot vegna gæðastarfs, þjónustu, ímyndar, mikils eftirlits og agaðra vinnubragða. Íslensk fyrirtæki finna fyrir aukningu á því að erlend fyrirtæki sem þau eiga í samskiptum við geri kröfu um öryggisstefnu svo að viðskipti geti átt sér stað. Sum erlend fyrirtæki láta sér nægja að spyrja út í atriði sem eru tengd öryggisstefnu en gera ekki kröfu um að hún sé mörkuð. Dæmi eru um að íslensk fyrirtæki geri kröfu á erlenda aðila um öryggisstefnu.

Samkvæmt könnuninni er talið að fyrirtæki á sviði heilbrigðis og upplýsingatækni þyrftu einna helst að marka öryggisstefnu til að lifa og dafna á markaði en fast á hæla þeirra voru fyrirtæki á sviði fjármála, fjarskipta og hugbúnaðar. Einnig var spurt hverskonar starfsemi ætti að skylda til að marka öryggisstefnu en efstu sætin með afgerandi svarhlutfalli skipuðu fyrirtæki á sviði heilbrigðis og fjármála. Útfrá svörun þessara spurninga má draga þá ályktun að flest fyrirtæki sem meðhöndla persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar þurfi að marka öryggisstefnu til að lifa og dafna á markaði en einungis þyrfti að gera öryggistefnu að skyldu hjá fyrirtækjum á sviði heilbrigðis og fjármála en nú þegar eru gerðar miklar kröfur á þessar stéttir um öryggi upplýsinga. Tillögur

Forsendur þess að öryggisstefna virki og beri tilætlaðan árangur er sýnilegur stuðningur yfirmanna og ábyrgðaraðila við framkvæmd stefnunnar. Besta forvörn fyrirtækis gegn utanaðkomandi aðilum sem kunna að valda tjóni eða eyðileggingu er öryggismeðvitund starfsfólks. Því er mál að útbúa kynningarefni fyrir alla rekstrareigendur og stjórnendur sem meðhöndla persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar og auka vitund þeirra á öryggisstefnu, tilgangi hennar og ávinning þess að innleiða hana. Koma þarf af stað kynningarteymi til að fylgja þessu kynningarefni eftir til dæmis með námskeiðum, hádegisfyrirlestrum og bæklingum.

Fyrirtæki sem eru ekki vottuð en hafa markað öryggisstefnu hafa engan gæðastimpil til að sýna viðskiptavinum og samstarfsaðilum sem sönnun þess að þeir séu með stjórnkerfi fyrir upplýsingaöryggi og verndi upplýsingar sínar. Hugmynd væri að hafa mismunandi stig vottunar eða gæðastimpla t.d. A, B, C eftir því hvers eðlis áhættur og/eða ógnanir steðja að tilteknu fyrirtæki og hversu miklar persónuupplýsingar og/eða viðkvæmar uplýsingar það hefur að geyma. Með þessum hætti geta fyrirtæki sýnt fram á að þau hugi að upplýsingaöryggi í rekstri sínum.

Formið á viðtölum sem framkvæmd voru í umræddri könnun bauð upp á að svörin væru fremur huglæg þar sem svör þátttakenda byggðust að mestu á persónulegum skoðunum þeirra. Áhugavert væri í næstu rannsókn að horfa meira til hlutlægra gagna á borð við verkferla og verklagsreglur, vinnubrögð starfsmanna, starf úttektarmanna og vinnuumhverfi fyrirtækja. Hlutlæg gögn sem aflað væri á vettvangi gætu gefið ítarlegri mynd af raunstöðu öryggismála innan íslenskra fyrirtækja. Lokaorð

Niðurstaðan er sú að öll þau fyrirtæki sem meðhöndla persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar ber að marka öryggisstefnu samkvæmt lögum og geta valið hvort þau vilji öðlast vottun samkvæmt ISO/IEC 27001. Það að sýna fram á að fyrirtæki marki öryggisstefnu eykur trúverðugleika þess þar sem það sýnir fram á að öryggisatriðum er sinnt í stjórnkerfi upplýsingaöryggis. Það er hinsvegar í höndum utanaðkomandi aðila að treysta því að fyrirtæki fari eftir settri öryggisstefnu en hægt er að auka traustið enn meira sé fyrirtækið vottað samkvæmt ISO/IEC 27001 því það er staðfesting þess að farið er eftir öllum kröfum sem snúa að öryggi upplýsinga.

Höfundur: Maríanna Magnúsdóttir 

Grein þessi er unnin upp úr meistaraverkefni Maríönnu Magnúsdóttir í rekstrarverkfræði við Háskólann í Reykjavík vorið 2011.