Trinn for trinn

Bakgrunnsteppe og innledende scenario

Du blir nå ledet inn i scenarioet. Les gjerne opp teksten for hele gruppen, slik at alle har samme situasjonsforståelse før dere går i gang med diskusjonen.

Bakgrunnsteppe

Organisasjonen har tjent bra med penger de siste årene, og det har vært store uttak av lønninger og bonuser til flinke medarbeidere. Det har vært en rasende utvikling både digitalt og med utvidelser av nye forretningsområder i inn- og utland. "Time to market" er et varemerke som blir høyt prioritert, og raske og effektive beslutninger preger organisasjonen og kulturen.

Direktøren og hans nærmeste er mye ute på reiser. Både for å besøke eksisterende lokasjoner og for å knytte til seg nye samarbeidspartnere og inngå kontrakter. Ledergruppen jobber mye på video, e-post og sms/telefon for å få en hektisk hverdag til å gå opp.

Organisasjonsutviklingen henger litt etter, da det er fokus på salg og leveranser. Man er klar over dette og jobber med å få på plass gode rutiner og prosesser. Og ikke minst, gode digitale løsninger for å være raske og effektive.

Innledende scenario

Direktøren og teamet hans er ute på en lengre reise i Europa. Da vet administrasjonen at det kan komme forespørsler om å bistå med å skaffe informasjon og statistikker, fordi det er viktige kontrakter som skal inngås. Det skjer også fra tid til annen at de ber om overføring av store og små beløp for å dekke forskjellige behov. Siden det er direktøren som ber om dette er serviceviljen stor, og ting effektueres umiddelbart. Det siste året er det overført
kr. 1.900.000,- etter slike forespørsler.

I dag kom det en ny forespørsel på e-post om overføring av kr. 450.000,- kroner til en konto. Økonomiavdelingen er i gang med å effektuere dette, men stusser litt, da de også hadde en tilsvarende forespørsel på SMS i går, som ble overført umiddelbart. Etter den andre overføringen ringer de til direktøren for å bekrefte at transaksjonen er gjennomført. Direktøren sier at han/hun ikke har bedt om noen pengeoverføringer på denne reisen. Økonomidirektøren ber om et møte med administrasjonen og IT for å se på hva som har skjedd.


På neste side finner dere noen diskusjonsspørsmål som kan hjelpe dere litt i gang med diskusjonen. Forsøk allikevel å komme opp med noen tanker om hvordan organisasjonen har, eller ville ha løst dette scenariet før dere går videre til neste side.

Diskusjonsspørsmål - del 1

Her er noen aktuelle spørsmål for å få i gang diskusjonen.

  • Har organisasjonen gjort vurderinger knyttet til et slikt scenario tidligere?
  • Hvilke andre vinklinger av scenarioet kan det være aktuelt å diskutere?
  • Hvordan kan dere benytte organisasjonens beredskapsplan?
  • Hvordan kan dere benytte tidligere risikovurderinger organisasjonen har gjort?
  • Hvordan leverer organisasjonen sine avtaleforpliktelser under disse omstendighetene?
  • Hvordan leverer organisasjonens systemleverandører sine avtaleforpliktelser under disse omstendighetene?

Ytterligere relevante spørsmål for nettopp dette senarioet ligger under informasjon til øvingsleder.

På neste trinn vil dere finne noen gode råd å ta med seg i det videre arbeidet, men vi anbefaler å vente med å gå videre til neste trinn til alle har fått tatt del i diskusjonen.

Gode råd - del 1

Her foreslår vi noen råd for det videre arbeidet med informasjonssikkerhet. Disse rådene er ikke uttømmende, men er i noen grad grunnleggende for arbeidet med informasjonssikkerhet.

  • Gjør en god risikoanalyse av organisasjonens behov for beskyttelse av informasjon.
  • Ta utgangspunkt i scenarioet, og vurder både konsekvenser og årsaker til at scenarioet oppsto. Bruk gjerne tilgjengelige veiledere på hvordan man utarbeider slike risikoanalyser, både for scenarier generelt og for informasjonssikkerhet spesielt.
  • Lag en god beredskapsplan basert på risikoanalysen. Lag en plan for hvordan organisasjonen ønsker å håndtere et slikt scenario, og for hvem som får ansvar for å gjøre hva.
  • Gå igjennom avtaler med samarbeidspartnere man utveksler informasjon med, for å sjekke ut samarbeidspartneres rutiner for sikring av informasjon.
  • Gå igjennom avtaler med systemleverandør (intern eller ekstern), for å sjekke ut hvordan systemleverandør håndterer slike scenarier, og hvordan de eventuelt eskalerer hendelser dere ønsker å være involvert i.

På neste trinn blir dere nå ledet inn i andre del av senarioet. Start gjerne med en åpen diskusjon før dere finner frem diskusjonsspørsmålene.

Scenario - del 2

Her blir dere ledet inn i noen nye momenter i scenarioet.

Overføringen har skjedd til et ukjent kontonummer, og banken kan ikke oppgi hvem som eier kontoen. Organisasjonen bestemmer seg derfor for å anmelde saken.

Også denne gangen finner dere noen spørsmål som kan hjelpe dere litt i gang med diskusjonen på neste trinn.

Diskusjonsspørsmål - del 2

Bruk disse spørsmålene for å komme videre i diskusjonen.

  • Hva ville utviklingen i scenarioet ha betydd i organisasjonen deres?
  • Ville det blitt noen endringer i forhold til det som ble diskutert under Bakgrunnsteppe og innledende scenario?
  • Hvordan kunne konfidensielle opplysninger i organisasjonen kommet på avveie i dette tilfellet?
  • Hvordan kunne organisasjons integritet blitt påvirket i dette tilfellet?
  • Hvordan ville mangel på tilgjengelighet av disse opplysningene påvirket organisasjonen?
  • Hvordan ville GDPR og personvern bli overholdt i din organisasjon i dette scenarioet?

Når dere har diskutert andre del av scenarioet, så kommer det også denne gangen noen råd for videre arbeid med informasjonssikkerhet. Disse er presentert på neste trinn.

 

Gode råd - del 2

Her presenterer vi noen nye råd for det videre arbeidet med informasjonssikkerhet. Disse rådene er heller ikke uttømmende, men er også i noen grad grunnleggende for arbeidet med informasjonssikkerhet.

  • Vurder hvilken informasjon som er av konfidensiell art i organisasjonen. Planlegg hvordan organisasjonen kan sikre den konfidensielle informasjonen.
  • Vurder hvordan organisasjons integritet kan bli påvirket i dette tilfellet. Planlegg hvordan organisasjonen kan beholde sin integritet etter en slik hendelse.
  • Vurder hvordan mangel på tilgjengelighet av informasjon kan påvirke organisasjonen.
  • Planlegg hvilken informasjon som bør være tilgjengelig til enhver tid, og hvordan organisasjonen bør jobbe med dette.
  • Vurder hvordan GDPR og personvern overholdes i din organisasjon i forhold til dette scenarioet.

På neste trinn blir dere nå ledet inn i siste del av scenarioet. Start gjerne med en åpen diskusjon også denne gangen, og benytt rådene dere allerede har fått.

Scenario - del 3

Nå blir du ledet inn i siste del av scenarioet. Denne gangen anbefaler vi at dere benytter de råd dere hittil har fått for å diskutere utviklingen i scenarioet.

Saken har dratt ut i tid hos politiet, og det er usikkert om forsikringsselskapet vil erstatte tapet. Organisasjonen har imidlertid fått kjennskap til et selskap som driver spesialetterforskning på slike saker. Likviditeten i organisasjonen har blitt svekket som en følge av hendelsen, men de vurderer likevel å benytte dette selskapet.

På neste og siste trinn gjøres en oppsummering av diskusjonsøvelsen og dere får også presentert anledning til å delta på evalueringsundersøkelsen.

Avslutning og evaluering

Vi håper dere nå har hatt noen spennende og oppklarende diskusjoner, og at øvelsen var nyttig for din virksomhet. Ta gjerne en titt på de øvingsmålene dere definerte og se om dere fikk diskutert disse. 

Nå er det lurt å notere seg "funn" og erfaringer sett opp mot virksomhetens beredskapsplaner og se om noe skal justeres. 

Fyll gjerne ut evalueringsundersøkelsen. Dette vil gi oss verdifullt underlag for å gjøre øvelsene enda bedre. 

Gå til spørreundersøkelse

Vel gjennomført, og lykke til med nye øvelser!