Suksessfaktor - tonen på toppen

Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Ledelsens styring og oppfølging. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.

Skal en virksomhet lykkes med å få tilstrekkelig styring og kontroll med informasjonssikkerheten, er det ikke nok med systematiske planer, policyer, retningslinjer, styringsparametere og oppfølging. Kulturen i organisasjonen er avgjørende.

De ansatte og brukerne av IKT-systemene må forstå hvorfor informasjonssikkerhet er viktig, hvorfor tiltak etableres, og hvorfor de må følges. Det må også være samsvar mellom det de ansatte sier de gjør, og det de faktisk gjør.

Hva ledelsen selv sier og ikke minst gjør, er fundamentet i organisasjonens kultur. Dersom ledelsen ikke tar informasjonssikkerhet på alvor, blir dette fort synlig blant de ansatte uavhengig av hva som sies eller skrives. Tar ikke ledelsen informasjonssikkerhet på alvor, er det lite trolig at de ansatte vil gjøre det.

Eksempler på faktorer som kan synliggjøre ledelsens faktiske holdning, er:

  • ledelsens engasjement
    • ved utarbeiding av overordnede styrende dokumenter for informasjonssikkerhet
    • i ledelsens gjennomgang av informasjonssikkerhet
    • ved utforming av styringsparametere og årlige krav til informasjonssikkerhet
  • ledelsens fremheving av informasjonssikkerhet i sin «dag-til-dag» kommunikasjon ut i organisasjonen og om ledelsen tydelig synliggjør hva tilstrekkelig og balansert informasjonssikkerhet betyr for «oss» som virksomhet
  • om ledelsen selv etterlever de retningslinjer og rutiner som blir etablert
  • de ansattes mulighet til å være kritiske til etablerte tiltak som kanskje ikke fungerer optimalt, og til å få endret disse
  • om det er reelt positivt i virksomheten å melde fra om mulige sikkerhetshendelser og mulige eller reelle feil og avvik
  • om informasjonssikkerhet er tema i topplederens oppfølging av egne underordnede ledere
  • om informasjonssikkerhet er et fast tema i virksomhetens medarbeidersamtaler e.l. nedover i hele organisasjonen

Dette handler om «tonen på toppen» og er et avgjørende suksesskriterium for tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet.

Virksomhetens fagansvarlig informasjonssikkerhet må informere lederne på alle nivå om dette. De kan gjerne vise til både Difis undersøkelser og anbefalinger, ISO-standarder og COSO-rammeverk. Videre må de legge til rette for at det er enkelt for lederne å involvere seg. De må fôre dem med relevant kunnskap og støtte dem gjennom prosesser som er nye, og som de første gangene kan oppleves tunge eller vanskelige. Lykkes de med det, er en på god vei.

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────