Personellsikkerhet og innsidetrussel
Innsidetrusselen representerer en betydelig risiko for selskaper, da både ansatte og kontraktører med tilgang til sensitive systemer og informasjon kan forårsake alvorlige skade, enten med vilje eller ved uaktsomhet. Implementering av effektive tiltak for å håndtere denne trusselen er avgjørende ikke bare for å ivareta regulatoriske krav virksomheten er pålagt, men også for å sikre data og intellektuelle eiendom og tillit hos sine kunder og andre interessenter.
Hva er en innsider?
Innsidetrusselen blir beskrevet på en rekke forskjellige måter, men den mest vanlige og vår forståelse er at innsidetrusselen er potensialet for at et individ som har eller har hatt gyldig tilgang til organisasjonens kritiske verdier, enten ondsinnet eller utilsiktet, og handle på en slik måte som negativt påvirker organisasjonen. Vi forstår altså innsidere som både personer som med viten og vilje gjennomfører handlinger mot organisasjonen, men også personer som utilsiktet skader organisasjonen ved å utlevere opplysninger de ikke skulle eller ved å klikke på lenken de ikke visste hva var. For å kunne arbeide med innsidetrusselen i en organisasjon er det viktig med en felles forståelse for hva fenomenet er.
Personellsikkerhet
Personellsikkerhet er et begrep som ofte brukes i forbindelse med Sikkerhetsloven, men har fått mer og mer fotfeste også for virksomheter som ikke treffes av loven. NSM forklarer at med personellsikkerhet menes tiltak, handlinger og vurderinger for å hindre at personer som kan utgjøre en sikkerhetsrisiko, plasseres eller er plassert i stillinger eller roller slik at det er aktuelt å frykte brudd på sikkerhetsloven (NSM, 2023). Disse tiltak, handlinger og vurderinger gjennomføres med formål å håndtere innsiderisikoen. Innsiderisikoen forstår vi som konsekvensen og sannsynligheten knyttet til realiseringen av en innsidetrussel. (CERT, 2022) Arbeidet med personellsikkerhet er bygget på samme rammeverk som risikostyring, men med søkelys på innsideren. Personellsikkerhet er noe som bør forankres i organisasjonens bredde, altså innenfor fagområder som ledelse, HR, juridisk, IT sikkerhet, fysisk sikkerhet, informasjonssikkerhet og dataeiere. Her kan det være flere relevante fagområder som bør trekkes inn avhengig av virksomhetens karakter, men tiltakene må fange virksomhetens bredde i innsidetrusselens mulige aktivitetsområde.
Hva kan Proactima hjelpe din virksomhet med?
I arbeidet med innsiderisiko, som med all risikostyring, er det avgjørende å forstå hvilke verdier virksomheten har behov for å sikre. Når verdiene er identifisert kan man identifisere de rollene som har relevant tilgang på verdiene og kartlegge mulige trusselaktører. Dette er sentralt for å forstå hvor i organisasjonen det er relevant å implementere personellsikkerhetstiltak. Proactima kan støtte din virksomhet med å etablere personellsikkerhet, både for å verne egen virksomhet og for å være i samsvar med krav i sikkerhetsloven og virksomhetsikkerhetsforskriften.
Proactima kan støtte din organisasjon med metode, prosess og erfaringer knyttet til proaktive og reaktive tiltak for personellsikkerhet.
Ta kontakt med oss for en uforpliktende prat.
Kontaktperson
(+47) 975 96 729
