Hvordan organiseres sikkerhetsarbeidet - og gjør vi det godt nok?

Sikkerhetsteamet (med CISO) ved Høyskolen Kristiania skal undersøke hvordan informasjonssikkerhet og cybersikkerhet er organisert i norske virksomheter. Resultatene danner et kunnskapsgrunnlag med anbefalinger som vil bli delt.  

Bakgrunn

Norske virksomheter forvalter store mengder data og sensitiv informasjon. Samtidig ser vi en økning i antall cyberangrep, og trusselen fra både kriminelle aktører og statlige aktører er reell og stigende. 

For å møte disse utfordringene er det ikke nok å investere i teknologi alene. Hvordan sikkerhetsarbeidet er organisert, har stor betydning for virksomhetens evne til å identifisere risiko, prioritere tiltak og håndtere hendelser effektivt. 

Hvordan dette arbeidet er organisert kan derfor være avgjørende for hvor godt en virksomhet er rustet til å møte dagens trusselbilde.

Det er mye som tyder på at virksomheter organiserer sikkerhetsarbeidet svært ulikt. Noen har dedikerte sikkerhetsfunksjoner med et tydelig mandat, andre har fordelt ansvaret på tvers av IT, ledelse og stab. Det er ingen fasit, og ulike organisasjonsmodeller har sine fordeler og ulemper.  

Men ulikhetene peker på et sentralt spørsmål – organiserer vi sikkerhetsarbeidet godt nok? 

Delta i undersøkelsen her ved å fylle inn et skjema (tar ca fem minutter)

En evig kamp om ressurser og mandat

En gjenganger i samtaler med sikkerhetsledere er frustrasjon over to ting: uklart mandat og knappe ressurser. Mange CISO-er og sikkerhetsledere opplever å sitte alene med ansvaret, uten god nok støtte fra ledelsen, uten nok folk og uten et tydelig definert handlingsrom. 

Sikkerhetsarbeid nedprioriteres gjerne på bekostning av driftsoppgaver, og det er vanskelig å argumentere for investeringer uten et felles referansepunkt for hva som er «godt nok».

Hva vi ønsker å kartlegge?

For å kunne gi konkrete og forankrede anbefalinger om hvordan sikkerhetsarbeidet bør organiseres, gjennomfører vi nå en bred kartlegging rettet mot ledere, IT-ledere og sikkerhetsledere i norske virksomheter.

Kartleggingen har som mål å belyse:

  • Dagens organisering – Hvordan er sikkerhetsansvaret plassert? Hvem rapporterer til hvem?
  • Mandat og myndighet – Har sikkerhetsfunksjonen et tydelig definert mandat? Har man reell beslutningsmyndighet?
  • Ressurssituasjonen – Opplever sikkerhetsledere at de har tilstrekkelige ressurser
  • Forankring i ledelsen – I hvilken grad er sikkerhet et tema på ledelses- og styrenivå?

Hvorfor dette er viktig nå?

Kartleggingen kommer på et tidspunkt der kravene til virksomheter øker, både gjennom lovgivning som NIS2 og kommende nasjonale krav, og gjennom et trusselbilde som ikke ser ut til å forsvinne med det første. Det er ikke lenger nok å håndtere sikkerhet reaktivt og fragmentert – det bør bli mer proaktivt.

Virksomheter kan lære mye av hverandre, og dette kan gjøres ved å etablere et felles grunnlag for hva god sikkerhetsorganisering faktisk innebærer. Det finnes ikke én riktig modell, men det finnes gode og dårligere praksiser, og mange av utfordringene er de samme på tvers av virksomhetene. Vi kan også lære mye av hverandres feiling og prøving. 

Veien videre

Resultatene fra kartleggingen vil danne grunnlag for en åpen diskusjon, og vi vil publisere funn og anbefalinger som kan brukes i arbeidet med å styrke og tydeliggjøre sikkerhetsorganisering i den enkelte virksomhet.
Vi håper at flest mulig tar seg tid til å delta i undersøkelsen. Jo bredere deltakelse, jo bedre grunnlag får vi for anbefalinger som faktisk treffer. 

Funnene vil bli anonymisert og presentert på aggregert nivå. Hvis du er sikkerhetsleder, CISO eller har ansvar for informasjonssikkerhet i din virksomhet håper vi at du tar deg noen minutter til å delta.
Undersøkelsen finner du er:

Dine svar kan bidra til bredere forståelse

Delta i undersøkelsen her ved å fylle inn et skjema (tar ca fem minutter)