Sikringsfaget er verdisentrert – åtte grunner til hvorfor fokuset på verdier i sikkerhetsstyringen bør styrkes

Verdi, trussel, sannsynlighet, sårbarhet, konsekvens og avhengigheter er seks faktorer som virksomhetsikkerhetsforskriften krever at virksomheter underlagt sikkerhetsloven skal ta hensyn til når de vurderer risiko.

Bedre forståelse

I stadig større omfang evner virksomheter, offentlige som private, å legge disse faktorene til grunn når risiko vurderes. Men fremfor å anskueliggjøre faktoren «verdi» i en situasjon der risiko skal vurderes, ønsker jeg i dette blogginnlegget å synliggjøre viktigheten av god forståelse av verdier i virksomheters sikkerhetsstyring. Jeg flytter dermed fokus fra verdi brukt i risikoanalyser til en faktor som er med oss i hvert trinn av styringsprosessen.

I kjølvannet av at en norsk statsborger ble pågrepet og siktet for å ha solgt informasjon til en fremmed makt har viktigheten av oversikt og kontroll på virksomhetens verdier blitt ilagt mye fokus i media.

Et komplett register

Advansia har sammen med flere av våre kunder, fått anledning til å utvikle virksomhetsovergripende register over de mest kritiske verdiene til disse virksomhetene. Registeret som utvikles blir en sentral komponent i virksomhetens styringssystem for sikkerhet. Når vi gjennomfører dette arbeidet tar vi utgangspunkt i virksomhetens leveranser til brukerne og samfunnet og gjennom kartleggingen identifiserer vi de viktigste innsatsfaktorene.

Et komplett register inneholder gjerne informasjon om infrastruktur til bygg, anlegg og informasjonsteknologi. Videre vil det også inneholde oversikt over alle applikasjoner og serverer, leverandører og dets underleverandører, virksomhetskritisk personell og dokumentert informasjon i ulike formater og til ulik bruk. Registeret vil dermed inneholde verdier som befinner seg både innenfor og utenfor sikkerhetslovens domene.

Helhetlig styring

Det er vår erfaring at virksomheter som har oversikt over sine verdier i større grad evner å utøve helhetlig sikkerhetsstyring. Ved å anskueliggjøre registeret som en sentral komponent, eller som et nav i styringssystemet, evner virksomheten i større grad å beskytte sine verdier i hele verdiens levetid. Ved at virksomheten har lik metodisk tilnærming til sikkerhetsstyring av sine verdier blir sikringsarbeidet også mer helhetlig enn om metodene skulle skifte avhengig av hjemmel som blir lagt til grunn.

En oversikt over virksomhetens verdier, uavhengig av om de er innenfor eller utenfor rammen av sikkerhetsloven er en skattkiste for virksomhetens helhetlige sikkerhetsarbeid.

Vi erfarer at et virksomhetsovergripende register over leverandører, objekter og verdier understøtter god sikkerhetsstyring på flere måter:

  1. Når en utarbeider registeret er det nødvendig å være konkret og det blir derved enklere å peke på og gjøre eiere og forvaltere av verdier oppmerksom på det ansvar som tillegger dem
  2. Når verdiene samles i et felles register for hele virksomheten får avdelingene mindre rom til å opprettholde den tradisjonelle budsjettfordeling som «alltid» har eksistert fremfor en risiko- og vesentlighetsbasert tilnærming når budsjett- og virksomhetsplaner utarbeides
  3. Når registeret utarbeides og hver verdi ilegges en vurdering av viktighet (kritikalitet) blir det enklere for virksomhetens ansatte å forstå og etterleve de sikringstiltak som iverksettes
  4. Registeret gjør det enklere å sikre at virksomhetens beredskapsplaner er tilstrekkelig konkrete og dekkende, eksempelvis bør virksomhetens kontinuitetsplan baseres på oppføringer i registeret
  5. Når registeret inneholder oversikt over leverandører og underleverandører har virksomheten styrket sine forutsetninger for å følge opp leverandørens evne til å levere i henhold til inngåtte avtaler, herunder forsvarlig sikkerhet i hele verdiens levetid
  6. Dersom det etableres koblinger mellom virksomhetens avvikssystem og verdiregisteret vil en kunne skape en forståelse på hvor godt egnet sikringstiltakene er til å beskytte verdiene og hvor lenge eventuelle sårbarheter får lov til å eksponere virksomhetens verdier
  7. Dersom det etableres koblinger mellom verktøystøtten for personellsikkerhet og verdiregisteret vil en kunne etablere oversikt over hvilke verdier ansatte og innleide er autorisert til å behandle
  8. Når sikkerhetshendelser inntreffer og virksomheten mottar trusselvurderinger vil en enklere og i langt større grad kunne vurdere hvilke verdier som ytterligere skal sikres gjennom iverksettelse av allerede planlagte påbygningstiltak

Tilbake til kompromitteringen, men uten å legge denne konkrete situasjonen til grunn. Det er unektelig et stykke krevende arbeid å vurdere skadepotensiale for virksomheten, samarbeidende virksomheter, leverandørkjeder, samfunnet og for rikets sikkerhet når skjermingsverdig informasjon har blitt delt til en fremmed makt.

I den grad det er mulig å spore tilbake til hvert enkelt dokument vil det i større grad være mulig å vurdere de konkrete skadefølger. Det blir straks vanskeligere når en antar at informasjon innenfor det område som innsideren har arbeidet med er overbrakt muntlig. En klar forståelse for hvilke verdier med tilhørende viktighet innsideren har behandlet vil da være til god hjelp i dette arbeidet.

Njål Rosingaunet

Njål er sikkerhetsrådgiver i Advansia, part of AFRY (tidligere One World). Han har mer enn 15 års erfaring som rådgiver og prosjektleder i offentlig og privat sektor. Han har en master i administrasjon og organisasjonsvitenskap fra Universitetet i Bergen, med fordypning innen sikkerhetsstyring fra Sør Afrika. Njål har blant annet arbeidet i Forsvaret, som assisterende sikkerhetsleder og seniorrådgiver i DSB, i Riksrevisjonen og i Teleplan. Njål er sertifisert revisjonsleder ISO 27001 Ledelsessystem for informasjonssikkerhet og har nøkkelkompetanse innen sikkerhet, beredskap og krisehåndtering.

Har du spørsmål knyttet til våre produkt og tjenester?

Ta gjerne kontakt via telefon, e-post, eller i kontaktskjema under.
Send oss dine spørsmål og få svar.