En årlig undersøkelse viser at mindre enn 1 av 3 statlige virksomheter gjennomfører årlig beredskapsøvelse.
Undersøkelsen er foretatt blant alle statlige virksomheter av DIFI. Tallene viser at 73 % av statlige virksomheter har sørget for å få på plass en beredskapsplan. For de minste virksomhetene er det under halvparten som har beredskapsplan, mens andelen stiger hos de større.
I dag må man regne med at hendelser vil inntreffe og å øve på hendelser og situasjoner vil styrke muligheten til å kunne håndtere dem. Drøyt halvparten av virksomhetene med flere enn 1000 ansatte øver, mens hos virksomhetene med mindre enn 100 ansatte er det kun 17 % som øver.
IT-beredskapen i staten svikter fordi lederne ikke engasjerer seg i problemet, sier informasjonssikkerhetssjef Lillian Røstad hos Difi til Teknisk Ukeblad. Røstad sier videre at i ytterste konsekvens vet man ikke hvilke risiko man lever med før det er for sent. – Når en hendelse inntreffer, har man ofte ikke tid til å forholde seg til skriftlige planer. Man må agere der og da. Og skal du handle i tråd med det som er planlagt, må du ha øvd regelmessig – slik at planene sitter i ryggmargen, poengterer hun.
Som et minimum skal ledelsen i en statlig virksomhet ha en gjennomgang av sikkerhetstiltakene hvert år, for å kunne ha kunnskap om behov, status og tiltak innen informasjonssikkerhet. For de små statlige virksomhetene er det bare 21 % som gjør dette. For de store er det 38 % som har ledelsens gjennomgang.
Det er også bare 57 % av virksomhetene som gjennomfører systematiske risikovurderinger. Risikovurderinger er vesentlige for å få en oversikt over hvilke trusler som kan ramme virksomheten og det er også et godt verktøy for kunne vurdere hvilke sikringstiltak som er effektive for å demme opp om truslene.
NorSIS anbefaler
- Lag en beredskapsplan slik at man vet hva man skal gjøre når hendelser skjer. Les vår
- Øv på planene slik at man er mer forberedt når hendelser skjer
- Sørg for at ledelsen i virksomheten gjennomgår status på informasjonssikkerhet minst årlig
- Gjennomfør risikovurdering, og sørg for at den er oppdatert minst årlig eller ved større endringer
- Bruk gjerne Nasjonal Sikkerhetsmåned, oktober, til å ta en gjennomgang internt også i forhold til risikovurderinger, beredskapsplaner og øvelser.
- Gjennomfør også opplæring av alle ansatte. Beredskapsøvelse gir f eks en svært god opplæring.
Les mer
NorSIS sin veiledning om sikkerhetsledelse
NorSIS sin veiledning om risikostyring