Informasjonssikkerhetsledelse En holistisk tilnærming
Figurer og tabeller
Forord
Det er spesielle utfordringer forbundet med å være CISO (Chief Information Security Officer) eller leder av informasjonssikkerhet i en virksomhet.
For det første er informasjonssikkerhet et enormt bredt fagområde som utvikles og fornyes i raskt tempo. For ledere i dette fagfeltet er det derfor vanskelig å følge med på alle de enkelte elementene og aspektene ved informasjonssikkerhet og forstå betydningen av dem i det store bildet. For det andre er informasjonssikkerhetsrisiko temmelig forskjellig fra finansrisiko, som virksomhetsledere typisk forholder seg til, slik at når en CISO presenterer informasjonssikkerhetsrisiko for toppledelsen, kan tolkningen bli feil. For det tredje anses informasjonssikkerhet ofte som en salderingspost for virksomhetene, uten at man helt innser at nedskjæringer kan utsette virksomheten for uforholdsmessig stor risiko.
Denne boken er CISO-ens verktøykasse for å mestre disse utfordringene. Den beskriver spesifikke personlige egenskaper en CISO bør ha, ledelsesmetoder som egner seg for å kunne innpasse styring av informasjonssikkerhet i den helhetlige virksomhetsstyringen, og den gir en konsis beskrivelse av sentrale deler av faget som en CISO bør forstå og se betydningen av.
Mye av innholdet i boken er basert på forskningslitteratur og har gode referanser. Boken er praktisk rettet, og vil være svært inspirerende også for andre enn bare CISO-er og ledere av informasjonssikkerhet. Den er f.eks. svært nyttig for studenter og ansatte som studerer eller jobber med ledelse og som er interessert i informasjonssikkerhet, og vice versa. I tillegg til å gi en konsis oversikt over fagfeltet informasjonssikkerhet, demonstrerer den hvilke personlige egenskaper som er gunstige når man vil fungere i en virksomhet, og den gir en innføring i gode ledelsesmetoder generelt.
Boken anbefales til alle som ønsker å forstå og praktisere ledelse av informasjonssikkerhet.
Oslo, februar 2023
Audun Jøsang
Professor i informasjonssikkerhet, UiO
Forfatterens forord
Dette er boken jeg ønsket at jeg hadde, da jeg under studiene ville forberede meg enda bedre til arbeidslivet og ønsket meg en bedre forståelse av informasjonssikkerhetsledelse med en holistisk tilnærming. Jeg håper denne boken kan være nyttig for dem som synes faget informasjonssikkerhetsledelse høres spennende ut, for fremtidige informasjonssikkerhetsledere og for dagens fagspesialister.
Det er mange jeg vil takke i forbindelse med denne utgivelsen! Takk til mine kollegaer fra Sykehuspartner for de gode faglige diskusjonene, for samarbeidet og for tilliten jeg fikk til å gjennomføre spennende arbeidsoppgaver og komplekse prosjekter. Det er Sykehuspartners samfunnsoppdrag og fagmiljø som har motivert meg til videreutvikling innen informasjonssikkerhetsledelsesfaget. Jeg vil også takke Sykehuspartner for å ha gitt meg muligheten til å ta en doktorgrad og for å ha finansiert utdanningen. Jeg vil rette en spesiell takk til min mentor og informasjonssikkerhetsleder ved Sykehuspartner, Christian Jacobsen, for de gode faglige diskusjoner spesielt om sikkerhets- og risikostyring, og gode råd om praktisk tilnærming til informasjonssikkerhet. Det er disse diskusjonene som motiverte meg til å skrive denne boka.
Til mine kollegaer ved Institutt for Informatikk ved Universitetet i Oslo (UiO) vil jeg rette en takk for godt samarbeid, gode faglige diskusjoner og bistand under doktorgradsforløpet. Jeg vil også takke mine kollegaer som er informasjonssikkerhetsledere i Helse Sør-Øst RHF (HSØ-RHF), Akershus universitetssykehus (AHUS), Oslo universitetssykehus (OUS), Sunnaas Sykehus (SunHF), Sykehuset i Vestfold (SiV), Sykehuset Innlandet (SIHF), Sykehuset Telemark (STHF), Sykehuset Østfold (SØHF), Sykehuspartner (SP), Sørlandet sykehus (SØHF) og Vestre Viken (VVHF) for at dere har satt av tid til å gi meg råd, latt dere bli intervjuet, og for å ha delt deres store kompetanse og erfaring med meg.
Jeg vil også takke mine kollegaer ved Martina Hansen Hospital (MHH) for tilliten dere har gitt meg. Den erfaringen jeg har fått fra MHH har vært meget verdifull, og mye av metodene og tankegangen beskrevet i boka har jeg kunne videreutvikle på grunn av dere.
Videre vil jeg takke den eksterne fageksperten innen ledelse for meget konstruktive kommentarer til del 1 og 2 av boka. Innspillene har bidratt til å heve kvaliteten på boka, noe jeg setter stor pris på.
Jeg vil også rette en stor takk til professor Audun Jøsang, som har vært både ekstern konsulent for dette bokprosjektet og min faglige veileder på UiO. Tusen takk for at du har gjennomgått hele boka med fokus på informasjonssikkerhetsdelen. Jeg setter stor pris på at du har vært meget støttende og satt av tid til å gjennomføre kvalitetssjekk av boka med detaljerte og gjennomtenkte innspill. Ikke nok med det, men du har frivillig stilt deg til disposisjon for å gjennomgå boka i flere omganger.
Jeg ønsker å rette en stor takk til redaktør Elisabeth Holmberg, som med sin utrolige ekspertise hjalp meg til å gjøre boka mer leservennlig, uten at det gikk utover det faglige innholdet. Takk også til både deg og Cappelen Damm Akademisk for tilliten og at dere hadde tro på bokprosjektet.
Til slutt vil jeg rette en stor takk til min familie som har støttet meg gjennom hele denne perioden, og har motivert meg til å stå på. Jeg vil takke min kone for å være støttende gjennom hele prosessen og hjulpet til med korrekturlesning og gitt gode råd om boka. Uten din forståelse og støtte hadde jeg ikke kunne fullført denne boka. Jeg vil også takke mine døtre som har stilt gode spørsmål, vært nysgjerrige om boka og hjulpet til å velge omslag. Dere har vist meg at barn er naturlige forskere, og jeg håper dere beholder denne viktige egenskapen gjennom hele livet. Nysgjerrigheten og engasjementet deres har hjulpet meg til å finne min indre motivasjon for å skrive denne boken. Og ikke å forglemme de gangene dere har våknet opp tidlig sammen med meg for å skrive eller tegne deres egne bøker og tegneserier, mens jeg har jobbet med boka.
Og til deg som sitter med boken i hendene: Lykke til med lesingen!
Oslo, februar 2023
Dinh Uy Tran
Introduksjon
Jeg har mange ganger lurt på hvilke ferdigheter som trengs for å kunne gjøre en bedre jobb som informasjonssikkerhetsleder / Chief Information Security Officer (heretter CISO). Med utgangspunkt i det spørsmålet har jeg søkt etter informasjon, men overraskende nok funnet lite. Jeg har lykkes i å finne noen artikler, sertifiseringer og bøker som berører temaet. Disse kildene legger stort sett vekt på hva man bør kunne, men i liten grad hvordan man faktisk praktiserer ferdighetene. Samtidig finnes det noen aktuelle fag og studieretninger, men for nykommere innen fagfeltet kan det være vanskelig å se koblingene mellom disse og faget informasjonssikkerhetsledelse, og hvordan dette faget praktiseres i arbeidslivet. I mangel på litteratur som knytter teoretiske fag opp mot praktisk anvendelse på feltet for informasjonssikkerhetsledelse, besluttet jeg å skrive denne boka. Hensikten med boka er å dele en verktøykasse med dere lesere, basert på faglitteratur, intervjuer og egne erfaringer i rollen som CISO, samt utøvelse av faget informasjonssikkerhetsledelse.
Målgruppen
Målgruppen for denne boka er primært de som studerer informasjonssikkerhetsledelse og har ambisjoner om å bli CISO. Samtidig er den egnet for etablerte CISO-ere som ønsker å videreutvikle ferdighetene sine. Målet med boka er å hjelpe fremtidige og etablerte CISO-ere til å få en holistisk forståelse og tilnærming til faget informasjonssikkerhetsledelse. Boka kan også være aktuell for virksomheter som trenger innspill til hva man skal se etter når man rekrutterer CISO-er.
Datainnsamling
Jeg har intervjuet CISO-er fra ni forskjellige helseforetak og en som tidligere jobbet i et helseforetak, om hva slags tips de ønsker å gi til morgendagens CISO-er. Jeg ønsker å sammenligne deres synspunkter for å se om de
samsvarer med mine egne og med faglitteraturen. Jeg har vært heldig som har hatt et godt nettverk, med mange dyktige mennesker innenfor informasjonssikkerhet. Dette har medført at jeg har lært fra mange forskjellige CISO-er og andre høyt kompetente kollegaer. Derfor har jeg gjennomført semistrukturerte intervjuer med åpne spørsmål, som er gruppert etter følgende tre hovedområder: personlig utvikling, ledelse og informasjonssikkerhet. Disse tre hovedområdene ble valgt fordi jeg anser at de dekker en holistisk tilnærming for informasjonssikkerhetsledelse. Jeg var mest interessert i intervjuobjektenes tanker for å få dybdeforståelse når vi diskuterte disse temaene. Derfor var spørsmålene åpne, som ga CISO-ene rom til å dele sine kunnskaper og snakke fritt. Ved å stille åpne spørsmål kunne CISO-ene utdype svarene sine, som ga meg ny lærdom eller nye ideer som jeg antagelig ikke hadde tenkt på om jeg hadde brukt lukkede spørsmål. Etter intervjuene kategoriserte jeg funnene, analyserte og undersøkte likhetene. Jeg vil presentere et sammendrag av det CISO-ene mener er viktigst innenfor de tre områdene. Deretter vil jeg sammenligne intervjuene mot faglitteraturen.
Personlige egenskaper
Når det gjelder tankesett, var det stor enighet blant CISO-ene om at man må være objektiv, faktaorientert og åpen for andre synspunkter. Samtidig må man være strukturert for å kunne utøve rollen sin godt, siden det kan være en meget krevende stilling.
Når det gjelder menneskelige verdier, så er fellesnevneren at man burde ha høy faglig integritet og være etterrettelig. Grunnen til dette var at man må kunne stå på sitt faglig, men samtidig være lojal til beslutninger som tas. Det å bygge relasjoner og tillit er også et av de områdene som er mest nevnt, fordi man skal jobbe med og ikke mot virksomheten.
Det ble også nevnt av flere at det kan være en fordel å være trygg på seg selv, siden man vil kunne møte motstand fra andre fagmiljøer som er uenig i arbeidstilnærmingen. Et eksempel kan være at man implementerer sikkerhetstiltak som medfører merarbeid for andre fagmiljøer, noe som kan skape misnøye. Andre viktige momenter er å være ydmyk og bevisst på at man ikke kan alt, men samtidig presiseres det at man burde være nysgjerrig og lærevillig. Grunnen til dette er at faget er dynamisk, ulike angreps- og forsvarsmetoder utvikles raskt i takt med den teknologiske utviklingen, og da er det en fordel å være faglig oppdatert, som igjen forutsetter at man er lærevillig.
Relevante fagfelt som ikke er direkte relatert til informasjonssikkerhet
Det er enighet blant CISO-ene at man bør ha virksomhetsforståelse og kjenne kjerneleveransene til sin virksomhet. Ellers nevnte alle at kommunikasjons- og mellommenneskelige ferdigheter er sentralt, siden man vil samarbeide med mange forskjellige mennesker. Med dette mente samtlige at konflikthåndtering er meget viktig, siden man kan møte motstand fra andre fagmiljøer.
Det ble nevnt at man bør ha grunnleggende forståelse for ledelsesfaget, og spesielt innen virksomhetsstyring. Dette fordi informasjonssikkerhetsledelse er nært knyttet til og en naturlig del av virksomhetsstyring. Prosessfaget og forståelse av kultur ble fremhevet av noen som mente det kan hjelpe å organisere informasjonssikkerhetsarbeidet og bidra til bedre forståelse for det menneskelige aspektet.
Ytterst få nevnte at en CISO også skal tenke som en prosjektleder med tanke på prioriteringer, målsettinger, milepæler og leveranser.
Informasjonssikkerhetsfaget
Innenfor informasjonssikkerhetsfaget er det ikke overraskende at alle er enige om at risikostyring er sentralt. Flere fremhevde at internkontroll/ sikkerhetsstyring, sikkerhetsrammeverk, sikkerhetsledelse og trusseletterretning bør være kjernefag innen informasjonssikkerhetsledelse.
Deretter var det noen få som mente at beredskap og verdivurdering er nyttige fagområder som følge av økende trend med dataangrep, mens flertallet mente at man bør ha grunnleggende kompetanse innen alle fagområder relatert til informasjonssikkerhet.
Faglitteratur
Det er flere likheter mellom svarene fra intervjuene og faglitteratur fra andre forskere/eksperter. Jeg vil derfor presentere et sammendrag fra faglitteraturen som understøtter de gjennomførte intervjuene. Det finnes noe forskning som beskriver hvilke ferdigheter man bør ha for å utøve god informasjonssikkerhetsledelse. Disse treffer både direkte og indirekte de tre hovedområdene som ble brukt som utgangspunkt for intervjuene.
Det er viktig å forstå at CISO-rollen er i konstant endring, men det er også viktig å være oppmerksom på at selve rollen og dens ansvarsområder
vil variere fra virksomhet til virksomhet. Whitten (2008) gjennomførte en analyse om hvilke ferdigheter som trengs for å utøve god informasjonssikkerhetsledelse. Åtte personer som hadde et ansvar for informasjonssikkerhet, ble intervjuet, faglitteratur ble gjennomgått og jobbannonser ble sammenstilt for å kartlegge anbefalte og ønskede ferdigheter. Resultatene av analysen viser at det er behov for ferdigheter innen ledelse, forretningsstrategi, informasjonssikkerhet, kommunikasjon, beredskap, hendelseshåndtering og problemløsning. Hooper og McKissack (2016) understreker at en informasjonssikkerhetsleder skal ha hovedvekt på ledelsesfag og være dyktig til å kommunisere, fremfor å være IT-sikkerhetsekspert. CISO er en strategisk stilling og skal bidra til at informasjonssikkerheten understøtter virksomheten. Dette betyr at man bør ha kompetanse innen virksomhetsog informasjonssikkerhetsstyring. Det er en konsensus blant forskere at informasjonssikkerhetsstyring er en del av virksomhetsstyring og ikke skal være begrenset til teknologi (Pérez-González et al., 2019; Posthumus & Von Solms, 2004; Soomro et al., 2016; Von Solms & Von Solms, 2006). Informasjonssikkerhetsstyring skal hjelpe med å styre virksomheten i riktig retning for å oppnå fastsatte forretningsmål. Dette indikerer at man bør ha grunnleggende forståelse for ledelsesfaget, siden man skal kommunisere med ledelsen. Derfor er det nyttig å kunne fagspråket innen ledelse for å redusere sannsynligheten for at misforståelser oppstår.
Metaanalysen til AlGhamdi et al. (2020) viser at rapportering er fundamentalt for informasjonssikkerhetsledelse, og det støttes av Von Solms og Von Solms (2006), som påpeker at informasjonssikkerhetstyring skal utøves og være en integrert del av alle ledernivåer. Dette indikerer at man bør ha etablert rapporteringsstruktur og gode kommunikasjonsferdigheter for å samarbeide med andre ledere og fagfolk på forskjellige nivåer.
Informasjonssikkerhetsstyring er meget viktig, og over tid har det blitt utviklet flere sikkerhetsrammeverk, som ses på som «beste praksis». Disse er som oftest generiske og ikke tilpasset spesifikke virksomhetstyper, noe som betyr at man må skreddersy slik at rammeverket passer virksomheten. Samtidig må man ta rammeverkene med en klype salt, siden det ikke nødvendigvis er slik at disse rammeverkene er «beste praksis». Siponen og
Willison (2009) påpeker at metodene for å utvikle rammeverkene ikke er beskrevet offentlig, og derfor finnes det ikke bevis om det er «beste praksis». Dette stemmer overens med metaanalysen til AlGhamdi et al. (2020), som viser at de fleste rammeverkene ikke er validert metodemessig. Derfor er det viktig å ha god forståelse for informasjonssikkerhetsstyring og ikke
stole blindt på rammeverkene. Uavhengig av dette så er det enighet om at bruk av sikkerhetsrammeverk er et godt utgangspunkt, og deretter kan man supplere med forskjellige rammeverk slik at det er tilpasset virksomheten (Veiga & Eloff, 2007; Siponen & Willison, 2009; Culot et al., 2021; AlGhamdi et al., 2020).
Et resultat av sikkerhetsstyringsprogrammet er at man etablerer sikkerhetstiltak for å redusere informasjonssikkerhetsrisiko til et godkjent nivå. Det er gjennom risikostyring man velger ut kostnadseffektive sikkerhetstiltak for å redusere sannsynligheten og/eller konsekvensen dersom en sikkerhetshendelse inntreffer. Tu og Yuan (2014) påpeker at utvikling av sikkerhetstiltak er en av seks komponenter som er nødvendig for effektiv sikkerhetsledelse. Dette indikerer at man bør ha god prosessforståelse for å kunne organisere gode sikkerhetstiltak, men også at man bør ha oversikt over hele informasjonssikkerhetsfaget. Grunnen til dette er at de forskjellige sikkerhetstiltakene er egne fagområder innen informasjonssikkerhet. Dette er i tråd med Harkins (2016), som oppsummerer at informasjonssikkerhetsleder må ha god forretningsforståelse og god nok kompetanse til å kunne oversette et teknisk språk til ikke-teknisk språk for ledelsen. Dette kan hjelpe virksomheten til å forstå hvilke risikoer som er verdt å ta eller ikke. I dette så kreves gode kommunikasjonsferdigheter, ledelse og forståelse av informasjonssikkerhet for å kunne påvirke ledelsen og ansatte på forskjellige nivåer. Fitzgerald (2007) utdyper videre at kommunikasjon er en nøkkelferdighet som brukes til å bygge broer med andre fagmiljøer, for å skape gjensidig tillit. Dette støttes også av Ashenden og Sasse (2013), som supplerer med at man må ha god kompetanse innen kultur for å påvirke mennesker. Dermed er mellommenneskelige ferdigheter viktig for å hjelpe andre ansatte med å forstå viktigheten av informasjonssikkerhet, gjennom toveis dialog fremfor å bruke «makt». Videre var formålet å påvirke kulturen og veilede andre basert på gjensidig respekt.
Jeg har ikke funnet faglitteratur som går i detaljer på hva slags personlige egenskaper en CISO bør ha, men personlige egenskaper blir diskutert indirekte. Som eksempel nevner Harkins (2016) at en CISO bør være nysgjerrig og holde seg oppdatert siden teknologi utvikler seg raskt, og trusselaktørene utvikler seg også raskt med tanke på angrepsmetoder. Dersom man ikke er oppdatert, vil man være på etterskudd. Samtidig er ledelse, kommunikasjon og mellommenneskelige aspekter nevnt ofte, som betyr at ferdigheter for å påvirke andre mennesker er nyttig. For å påvirke mennesker bør man da ha forståelse for seg selv og egne personlige egenskaper, og deretter
bruke denne kunnskapen til å forstå andre. Når man forstår andre og seg selv, vil det være lettere å kommunisere effektivt.
Oppsummering
Det er store likheter mellom gjennomførte intervjuer og faglitteratur, hvor de supplerer hverandre godt på hvilke ferdigheter som kan være nyttig. Felles for disse er at de kun gir anbefalinger på hva man bør kunne, men ikke går i dybden på de ulike temaene. Som et eksempel bør man kunne ledelsesspråk, men hvordan lærer man seg dette språket? Samtidig savner jeg mer oppmerksomhet på hvordan man kan utnytte sine egne personlige egenskaper for å utøve de ferdighetene som er nevnt.
Jeg vil med denne boka bygge videre på funnene fra datainnsamling og utdype de ulike ferdighetene. Dermed kan den brukes som en start for å lære de ulike ferdighetene, for å utøve informasjonssikkerhetsledelse med helhetlig tilnærming.
Struktur
Min hypotese er at man bør ha kunnskap om disse tre faktorene, nemlig personlig utvikling, ledelse og informasjonssikkerhet, for å være i stand til å bli en bedre CISO. Når man har kunnskap på de tre områdene, skal man kombinere ferdighetene, som dermed blir til en verktøykasse for å løse ulike problemstillinger. Strukturen i boka er en modell jeg har utviklet for å lære informasjonssikkerhetsledelse. Modellen er firedelt, som vist i figur 0.0.1:
London (2002) fremhever at grunnlaget for å bli en god leder starter med å forstå seg selv først, som vil gi et bedre utgangspunkt til å forstå andre mennesker. Derfor starter boka med personlig utvikling, for å hjelpe deg til å forstå deg selv og videreutvikle dine
Deretter vil det bli gjennomgått ulike ledelsesteorier som til sammen utgjør en egen verktøykasse, siden ledelse er situasjonsbestemt og krever forskjellige virkemidler for å løse ulike problemstillinger. For å kunne utføre jobben som CISO best mulig er det fornuftig med god forståelse for ledelsesfaget. Dette gjør at man kan kommunisere med ledelsen i et språk som de forstår, noe jeg kaller ledelsesspråk. Uten ledelsesspråk øker risikoen for misforståelse, siden det kan sammenlignes med to personer som snakker forskjellig språk. Dette betyr at man må oversette informasjonssikkerhetsfaget til et språk ledelsen forstår.
Til slutt bør man ha oversikt over hvilke informasjonssikkerhetsfag man bør kjenne til for å utøve informasjonssikkerhetsledelse. Når man har forståelse for alle tre områdene personlig utvikling, ledelse og informasjonssikkerhet, så kobler man ferdighetene sammen, og et av resultatene er at man utvikler ledelsesspråket innen informasjonssikkerhet. Ledelsesspråket bør være en integrert del av informasjonssikkerhetsfaget, slik at fremtidens studenter har verktøy for å påvirke og forstå ledelsen på en strukturert måte.