Slik bygger du opp et godt forsvar av informasjons-sikkerheten

«Tre forsvarslinjer» er en modell som allerede har rukket å bli 20 år gammel, men som ble tatt i bruk av Institute of Internal Auditors (IIA) så sent som i 2013. Dette er en generell modell for risikostyring som beskriver en tredelt fordeling av roller og ansvar.

Skrevet av: Berit Bekkevold

Den ble opprinnelig utarbeidet for risikostyring innen bank og finans, men har vist seg å være like relevant for offentlig forvaltning, handel, IT og andre bransjer hvor roller og ansvar for risiko skal fordeles. I denne artikkelen bruker vi modellen for å illustrere fordeling av roller og ansvar for risikostyring knyttet til informasjonssikkerhet.

Modellen kan illustreres på flere måter. Tre søyler er en av klassikerne, og er den som brukes av IIA. I denne artikkelen har vi derimot tatt i bruk et gammelt festningskart, for å illustrere de tre forsvarslinjene. 

Ansvar og roller i de tre forsvarslinjene kan beskrives slik:

1. Forsvarslinje tilsvarer vollgravene og jordvoller hvor fienden først ble oppdaget, og der kanonkuler og forsøk på å forsere vollgravene skulle stanses. Det er her operativ styring og ordinær drift skjer, og der det daglige operative ansvaret for å identifisere og behandle risiko i prosesser, produkter og tjenester er plassert. Det er i første linje den ordinære driften ligger og det er her tekniske, organisatoriske og administrative tiltak for å ivareta informasjonssikkerheten implementeres og måles.

2. Forsvarslinje tilsvarer indre bymur og portene. Dersom fienden klarte å forsere vollgraver og vollene, skulle man klare å stanse dem ved indre bymur. Her skjer valg av rammeverk, metoder og prosedyrer, og det er her system for overvåkning, måling og evaluering av tiltak ivaretas.

3. Forsvarslinje tilsvarer de viktige bygningene rundt torvet, der strategi for forsvar av byen og videre krigføring mot fienden ble lagt. Her overvåkes effektiviteten i operativ styring og risikostyring på en kompetent, uavhengig og objektiv måte, slik at funn kan kommuniseres til øverste ledelse. Det er i denne linja internrevisjon skjer.

Våren 2019 la IIA fram et forslag til en ny versjon av modellen. I den nye versjonen legger IIA mer vekt på å styrke hver av forsvarslinjene gjennom tydeliggjøring av roller og ansvar, samtidig som de anbefaler økt samhandling mellom linjene. Det åpnes dermed for en mer flytende overgang mellom forsvarslinjene, slik at modellen lettere kan tilpasses din virksomhet. Samtidig skal det være tydelig at internrevisjon i 3. forsvarslinje fremdeles skal være uavhengig, objektiv og upartisk.

Fordelen med tre forsvarslinjer er at det er en er enkel modell som er lett å formidle og forstå. For virksomheter som bruker standarden ISO 27001 for informasjonssikkerhetsstyring, kan modellen for tre forsvarslinjer derfor være god hjelp for å forstå risikostyring, samt organiseringen av informasjonssikkerheten i virksomheten.

Utfordringen med modellen er at den er så enkel at den kan bidra til å sementere en virksomhetsstruktur som ellers ville vært utdatert og uaktuell for organisasjonen. Deling av kunnskap og informasjon blant de som behandler risiko og følger opp tiltak i de tre forsvarslinjene er derfor viktig for kunne støtte hver funksjon i å utøve sine roller, samtidig som delingen av informasjon og kunnskap bør skje på en slik måte at forsvarslinjenes effektivitet ivaretas.

God informasjonssikkerhet er avhengig av at alle i virksomheten forstår sin rolle og sitt ansvar. Tre forsvarslinjer er en modell som kan bidra til en effektiv og lønnsom informasjonssikkerhetsstyring.

Ønsker du bistand til en effektiv organisering av risikostyringsarbeidet i din bedrift? Ta kontakt med oss i Watchcom for et uforpliktende tilbud.