Hvorfor skal vi ha en IT Sikkerhetspolicy?
Prøv å forestille deg et trafikkbilde uten at det fantes kjøreregler som sier noe om hva som er lov og ulovlig atferd i trafikken. Trafikkregler gir trafikksikkerhet, IT sikkerhetsregler gir IT sikkerhet.
Et firmas IT Sikkerhetspolicy blir firmaets ”trafikkregler” på jobben. Trafikkregler som inneholder en beskrivelse av hvor mye IT Sikkerhet det er behov for, og hvilke regler som gjelder. Det tas utgangspunkt i hva som er viktig å beskytte. Når man har overblikk over hva man har og får vurdert risiko og konsekvenser dersom noe skulle gå galt, da kan man velge et passende nivå på IT Sikkerhet. Resultatet er det som kommer til å stå i ditt firmas ”trafikkregler”.
Skal vi ha en Sikkerhetspolicy, en Informasjonspolicy eller en IT Sikkerhetspolicy?
”IT Sikkerhet” er et begrep som ligger under ”Informasjonssikkerhet”, som igjen er et begrep som ligger under ”Sikkerhet”.
De fleste organisasjoner har et behov for å sikre sin informasjon. Derfor har de fleste bruk for en Informasjonspolicy. Om man i tillegg til dette har behov for en mer omfattende Sikkerhetspolicy er avhengig av selskapenes individuelle behov. Den kan for eksempel inneholde regler om brannsikkerhet, personalsikkerhet og reisesikkerhet.
SecureAware er egnet til å styre alle tre former. Strukturen i SecureAware er fleksibel og kan kategoriseres og tilpasses til forhold som gjelder IT Sikkerhet, Informasjonssikkerhet og generell sikkerhet. SecureAware er tilpasset velkjente ISO standarder, med hovedvekt på IT Sikkerhet og Informasjonssikkerhet. Men ettersom standardene også inneholder kontrollpunkter for fysisk sikkerhet og personellsikkerhet er dette også lagt inn i SecureAware.
Kan vi overføre vår nåværende IT Sikkerhetspolicy til SecureAware?
Ja. Med SecureAware kan du lettere kommunisere din nåværende policy ut til dine brukere. Og du kan måle om de kjenner til innholdet. En Sikkerhetspolicy skal være kjent av hele organisasjonen. Ellers gir det ingen merverdi for selskapet og det oppstår en uønsket avvik mellom ønsket sikkerhetsnivå og det reelle.
Via SecureAware kan IT sjefen lettere formidle prosedyrer og sikkerhetsregler og gi veiledning basert på selskapets vedtatte sikkerhetsmål/-strategi. Det blir skapt en synlighet og det blir mulig å integrere sikkerhet i daglige rutiner. Fagfolk kaller dette å forankre sikkerhetsstrategien i organisasjonen.
Tar det lang tid å legge vår nåværende sikkerhetspolicy inn i SecureAware?
Vi har eksempler på at dette er gjort på en arbeidsdag, men det kommer an på en selv. Hvis policyen allerede er besluttet handler det kun om å legge dine valg inn i SecureAware samt gjøre eventuelle tillegg / endringer.
Viser det seg derimot at din policy har større mangler kan det betale seg å bruke tid på formuleringer og beslutninger på områder som er mangelfulle. Og da er det egentlig din egen beslutningsprosess som setter krav til tiden. SecureAwares pedagogiske oppbygning er til stor hjelp i arbeidsprosessen, hvor det gis konkrete forslag på så vel sikkerhetskategorier som sikkerhetsregler.
Vi har ingen IT Sikkerhetspolicy, hvorfor skulle vi ta i bruk SecureAware?
Av samme årsak som om du hadde en. I tillegg kommer det faktum at SecureAware vil spare deg for masse tid i arbeidet med å opprette din første sikkerhetspolicy. SecureAware er en ”ready made” pakke som gir deg hele rammeverket i din Sikkerhetspolicy og den fleksibilitet du trenger. Du kan velge tekst, du kan endre, du kan føye til tekst hvor du ikke finner et relevant forslag, Tekstene ligger i det vi har valgt å kalle ”objekter”, som gjør det lett for deg å kategorisere og målrette din sikkerhetspolicy. SecureAware er strukturert i henhold til anerkjente standarder; NS/BS 7799 og ISO 17799.
Kan vi få hjelp til å implementere SecureAware i vår organisasjon?
Hvis du ønsker det kan Securitec og våre forhandlere bistå i arbeidet med å utvikle en ny IT Sikkerhetspolicy, alternativt legge inn i din eksisterende policy. Dette kan vi gjøre til faste priser. Vi vil også kunne hjelpe deg med å implementere din IT Sikkerhetspolicy i din organisasjon,
