Virksomhetens verdier består av mange elementer som i sum gjør virksomheten i stand til å nå sine mål, overholde sine forpliktelser og opprettholde daglig drift. Enten verdiene er prosesser, informasjon, ansatte, IT-systemer, bygninger eller infrastruktur, må ledelsen sikre at verdiene er tilstrekkelig beskyttet.
Virksomhetens ledelse står ansvarlig hvis det oppstår sikkerhetsbrudd og tap eller forringelse av verdier som følge av nedprioritering og manglende fokus på informasjonssikkerhet.
Det er ledelsen som må fastsette hva som er akseptabel risiko for virksomheten og mål for hvordan IT-systemer skal anvendes for å beskytte virksomhetens verdier. Avhengigheten til og kompleksiteten i IT-systemene gjør at verdiene i IT-miljøet bør være inkludert i det helhetlige risikobildet og en naturlig del av virksomhetens overordnede styring og kontroll.
Manglende styring og kontroll med IT kan føre til:
- Manglende tilgjengelighet og pålitelighet til informasjonen
- Feilaktige og upålitelige regnskaper og ledelsesrapporter
- Misligheter og tap av fortrolig informasjon
- Redusert tillit hos finansielle samarbeidspartnere
- Direkte økonomiske tap
- Tap av omdømme
- Kostnader for å rette opp feilene i etterkant
- Tiltak og investeringer ikke understøtter virksomhetskritiske prosesser og måloppnåelse
Teknologi og tekniske løsninger alene, kan ikke løse virksomhetens behov for tilstrekkelig sikkerhet. Det er derfor viktig at det gjøres et godt grunnarbeid før løsninger og tiltak implementeres.Ikke minst er det viktig at ansatte får nødvendig opplæring knyttet til IT-sikkerhet og riktig bruk av IT-systemer.
Har du spørsmål? Ta gjerne kontakt med leder for Informasjonssikkerhet og Risikohåndtering:
Bjørn Christian Borgen
Leder Informasjonssikkerhet og Risikostyring
E: bcb@rsmnorge.no
M: +47 47 67 32 32