Aron Friðrik Georgsson skrifar:
Undirritaður er vottaður úttektarmaður í stjórnkerfum sem fylgja staðlinum ISO/IEC 27001 um öryggi upplýsinga. Stjórnkerfi eru nauðsynleg þegar verkefni skipulagsheildar ná ákveðnu flækjustigi og stærð skipulagsheildarinnar krefst þess. ISO/IEC 27001 hefur verið við lýði í rúm 15 ár og enn lengur ef forverinn BS 7799 er talinn með. Markmið með innleiðingu ISO/IEC 27001 er að koma upp stjórnkerfi í rekstri með áherslu á öryggi upplýsinga.
Hluti af innleiðingunni er að útbúa verkferli, verklagsreglur og búa svo um hnútana að upplýsingaöryggi sé regla fremur en undantekning. Þetta heitir á ensku „Secure by design“ og má þýða sem hönnun með tilliti til öryggis.
Skrásett verkferli eru ótrúlega einfalt tól sem tryggir að starfsfólk þekki hvað skal gera og hvernig. Að útbúa þau getur verið talsverð vinna en þó ekki endilega flókin. Vel útfærð verkferli verða að vera útbúin með öryggi í huga. Til dæmis að starfsfólk læsi tölvunum sínum ef stigið er frá þeim. Þetta er einfalt og kemur í veg fyrir að einhver óviðkomandi sjái viðkvæm gögn á tölvuskjánum. Vinnan sem á sér stað við greiningu verkferla getur einnig afhjúpað takmarkanir á starfsemi skipulagsheildarinnar. Hlutirnir hafa verið gerðir á ákveðinn hátt frá upphafi og engar umbætur hafa verið framkvæmdar svo árum skiptir.
Þetta hjálpar einnig ef mikil starfsmannavelta er hjá fyrirtækinu eða það er orðið svo stórt að yfirmenn hafa ekki lengur sömu yfirsýn og áður. Þá er gott fyrir fyrirtæki að útbúa skipulagshandbók sem inniheldur upplýsingar um stjórnkerfið og hvernig það er uppsett. Skipulagshandbókin getur innihaldið stefnur, verkferli og önnur skjöl sem lýsa verk- og skipulagi – sem allir starfsmenn þurfa að kynna sér og þekkja. Þannig má koma í veg fyrir óvissu og mistök í daglegum rekstri og nýir starfsmenn eru fljótari að koma sér inn í reksturinn.
Með reglulegum úttektum á stjórnkerfinu má svo sjá hvar skórinn kreppir og hvar er þörf á breytingum. Fyrirtæki hafa þá innri úttektarmann sem sér um að taka út starfsemina og skrá hjá sér niðurstöðurnar. Þannig má sjá til þess að stöðugar umbætur séu gerðar á stjórnkerfinu og að hlutirnir séu ekki gerðir á ákveðinn hátt, aðeins vegna þess að þeir hafa alltaf verið gerðir þannig.
Öll erum við mannleg og mistök geta komið upp í starfseminni. Þá er nauðsynlegt að hafa áætlanir um hvernig tryggja megi samfelldan rekstur. Í slíkar áætlanir er skráð hvað skal gera í ákveðnum aðstæðum, ábyrgðarhlutverk hvers og eins og hversu langan tíma hvert skref á að taka. Þetta getur skipt sköpum á ögurstundu og afstýrt stórslysum. Áætlanir um samfelldan rekstur verða einnig að taka á öryggi og gæta þess að því sé ekki fórnað ef áföll verða í rekstri.
Höfundur er viðskiptafræðingur og ráðgjafi í upplýsingaöryggismálum hjá Stika ehf. aron@stiki.eu
Þessi grein birtist fyrst í Morgunblaðinu 4. maí 2019