Alle virksomheter har en del sikkerhetsmekanismer på plass i sine IT-systemer. Like fullt er det mulig å bli rammet av angrep eller andre typer uønskede hendelser. En organisasjon må derfor være forberedt på å håndtere slike. Det finnes standarder og veiledninger til hendelseshåndtering, men det er ikke gitt at disse fungerer i praksis. Vi har i vår veiledet to studenter som har gjennomført et omfattende case-studie av tre store norske virksomheter. De har undersøkt hvordan disse virksomhetene gjør hendelseshåndtering i praksis.
Masterstudentene i kommunikasjonsteknologi, Cathrine Hove og Marte Tårnes har utført oppgaven ved Institutt for telematikk, NTNU, våren 2013. De har intervjuet IT-sikkerhetsansvarlige i de ulike virksomhetene, studert eksisterende planer, policies og andre typer dokumentasjon, samt gjennomført mini-spørreundersøkelser blant ansatte i virksomhetene.
I rapporten beskrives det i hvilken grad virksomhetene følger gjeldende standarder og anbefalinger. I tillegg pekes noen områder ut som ekstra utfordrende for alle:
- Kommunikasjon: både internt i responsteamet, ut mot de ansatte, samt ekstern kommunikasjon. En ting er å ha planer og prosedyrer for kommunikasjon, noe annet er å ha oppdaterte varslingslister og kjenne til planene så godt at det fungerer i en krisesituasjon.
- Informasjonsinnhenting: I store organisasjoner med distribuerte ressurser er det mange informasjonskilder som kan og må benyttes. Det å samle trådene og plukke ut det som er viktig og korrekt er en krevende øvelse. For mye informasjon kan bli overveldende, mens for lite informasjon kan gjøre at viktige detaljer blir utelatt.
- Erfaring: Detaljerte planer for hendelseshåndtering er lite verdt dersom de involverte ansatte ikke har erfaring. Det vil alltid kunne dukke opp hendelser som ingen har forutsett, og det er derfor umulig å lage komplette planer for alle mulige scenarioer. Det er mye mer verdifullt å legge innsats i praktiske øvelser og trening på hendelseshåndtering enn å ha oppdaterte og omfattende planer for alt mulig. Verken erfaring eller trening er tilstrekkelig omtalt i gjeldende standarder i forhold til hvor sentralt det er i praksis.
- Plassering av ansvar: De mest utfordrende hendelsene er de hvor det er uklart hvem som eier problemet og ingen dermed tar et tydelig ansvar for problemløsning. Dette kan føre til unødige forsinkelser og dermed større konsekvenser av hendelsen enn nødvendig. Tydelige avklaringer av hvem som har ansvar for hva hører til planleggingsfasen, og praktiske øvelser kan bidra til å avdekke gråsoner på dette området.
- Involvering av ansatte: Mini-spørreundersøkelsene blant ansatte viser at det er stor variasjon i kunnskap og bevissthet knyttet til informasjonssikkerhet. Ikke alle er klar over hva en informasjonssikkerhetshendelse er, og da vil de heller ikke være i stand til å oppdage og varsle dersom noe skulle inntreffe. Ingen av de involverte virksomhetene inkluderer ansatte utover IT-stab og tilsvarende nøkkelpersoner i praktiske øvelser. Hver enkelt ansatt kan imidlertid være en betydelig ressurs både til å avverge og oppdage hendelser dersom de har et visst nivå av forståelse for informasjonssikkerhet.
Les hele rapporten her: Information Security Incident Management: An Empirical Study of Current Practice
Veileder fra oss har vært Maria B. Line, som gjennomfører en tilsvarende studie i kraftbransjen i sitt PhD-arbeid.
Marte Tårnes skrev dessuten i høst en prosjektoppgave om måling av informasjonssikkerhet.