Innsider vitende trinn for trinn

Du blir nå ledet inn i scenarioet. Les gjerne opp teksten for hele gruppen, slik at alle har samme situasjonsforståelse før dere går i gang med diskusjonen.

Bakgrunnsteppe

Oda har lang erfaring fra flere organisasjoner og sitter på mye kompetanse. Oda ønsker å dele sine erfaringer og har skrevet en rekke fagartikler, men de er av ulike grunner ikke blitt publisert på noe fagforum (refusert). Oda deltar på seminarer og kurs for å holde seg oppdatert faglig. Disse arenaene er treffpunkt og bidrar til nettverksbygging og erfaringsutveksling. Miljøet er lite, og hun møter ofte de samme menneskene på ulike kurs. Sist gang hun deltok møtte hun en hyggelig dame som hun fort fant tonen med. Samtalen fløt lett og de avtalte å møtes igjen på et kommende kurs. De to inngår et vennskap og møtes både i jobbrelaterte og sosiale sammenhenger. Damen som Oda er blitt kjent med har kontakter i diverse fagforum og noen av disse er svært interesserte i å publisere tekster som Oda har skrevet. Oda sender inn og får tilbakemelding om at teksten er god og at de ønsker å publisere den. Oda mottar et beløp for teksten. Etter at teksten er publisert blir Oda kontaktet av andre fagforum som ønsker både at Oda skriver tekster og holder foredrag. Oda er strålende fornøyd med sin nye tilværelse som foredragsholder.

Etter en tid starter venninnen å spørre Oda om små tjenester. Noen er helt trivielle, som å kjøpe med noe på veien, andre er spørsmål om Oda kan dele noen maler fra bedriften. Oda deler dette. Etter hvert blir det flere spørsmål og tjenestene blir mer krevende. Oda er motvillig, men fortsetter å gjøre tjenester for venninnen. En dag ber venninnen Oda om å sende over et studium som organisasjonen akkurat har gjennomført. Oda vet at studiet ikke er offentlig og at deler av den heller ikke kommer til å bli offentlig. I starten holder Oda tilbake og utsetter å besvare gjentatte spørsmål om deling. Et par dager etter at spørsmålet først ble stilt kontakter Odas venninne henne og sier at dersom hun ikke sender over studien, vil venninnen offentliggjøre at Oda har mottatt betaling for foredrag og for artikler som hun har skrevet i arbeidstiden. Venninnen truer også med å publisere det som Oda allerede har sendt til henne og dermed «bevise» at Oda er en utro arbeidstaker. Dette vil selvfølgelig ødelegge Oda sitt rykte og ødelegge framtidige jobb-bytter.

På neste trinn finner dere noen diskusjonsspørsmål som kan hjelpe dere litt i gang med diskusjonen. Forsøk likevel å komme opp med noen tanker om hvordan organisasjonen har, eller ville ha løst dette scenarioet før dere går videre til neste trinn.

Her er noen aktuelle spørsmål for å få i gang diskusjonen.

• Har organisasjonen gjort vurderinger knyttet til et slikt scenario tidligere?
• Hvilke andre vinklinger av scenarioet kan det være aktuelt å diskutere?
• Hvordan kan dere benytte organisasjonens beredskapsplan?
• Hvordan kan dere benytte tidligere risikovurderinger organisasjonen har gjort?
• Hvordan leverer organisasjonen sine avtaleforpliktelser under disse omstendighetene?
• Hvordan leverer organisasjonens systemleverandører sine avtaleforpliktelser under disse omstendighetene?

Ytterligere relevante spørsmål for nettopp dette senarioet ligger under informasjon til øvingsleder.

På neste trinn vil dere finne noen gode råd å ta med seg i det videre arbeidet, men vi anbefaler å vente med å gå videre til neste trinn til alle har fått tatt del i diskusjonen.

Her foreslår vi noen råd for det videre arbeidet med informasjonssikkerhet. Disse rådene er ikke uttømmende, men er i noen grad grunnleggende for arbeidet med informasjonssikkerhet.

• Gjør en god risikoanalyse av organisasjonens behov for beskyttelse av informasjon.
• Ta utgangspunkt i scenarioet, og vurder både konsekvenser og årsaker til at scenarioet oppsto. Bruk gjerne tilgjengelige veiledere på hvordan man utarbeider slike risikoanalyser, både for scenarier generelt og for informasjonssikkerhet spesielt.
• Lag en god beredskapsplan basert på risikoanalysen. Lag en plan for hvordan organisasjonen ønsker å håndtere et slikt scenario, og for hvem som får ansvar for å gjøre hva.
• Gå igjennom avtaler med samarbeidspartnere man utveksler informasjon med, for å sjekke ut samarbeidspartneres rutiner for sikring av informasjon.
• Gå igjennom avtaler med systemleverandør (intern eller ekstern), for å sjekke ut hvordan systemleverandør håndterer slike scenarier, og hvordan de eventuelt eskalerer hendelser dere ønsker å være involvert i.

På neste trinn blir dere nå ledet inn i andre del av senarioet. Start gjerne med en åpen diskusjon før dere finner frem diskusjonsspørsmålene.

Her blir dere ledet inn i noen nye momenter i scenarioet.

Oda har vært en betrodd medarbeider i mange år, og har derfor tilgang til systemene der studiet ligger. Hun kjenner godt til at hun i henhold til arbeidsavtalen sin ikke kan ta på seg merarbeid med mindre dette er avtalt med bedriften. I frykt for å miste jobben sin, velger hun derfor å oversende studiet.

Også denne gangen finner dere noen spørsmål som kan hjelpe dere litt i gang med diskusjonen på neste trinn.

Bruk disse spørsmålene for å komme videre i diskusjonen.

• Hva ville utviklingen i scenarioet ha betydd i organisasjonen deres?
• Ville det blitt noen endringer i forhold til det som ble diskutert under Bakgrunnsteppe og innledende scenario?
• Hvordan kunne konfidensielle opplysninger i organisasjonen kommet på avveie i dette tilfellet?
• Hvordan kunne organisasjons integritet blitt påvirket i dette tilfellet?
• Hvordan ville mangel på tilgjengelighet av disse opplysningene påvirket organisasjonen?
• Hvordan ville GDPR og personvern bli overholdt i din organisasjon i dette scenarioet?

Når dere har diskutert andre del av scenarioet, så kommer det også denne gangen noen råd for videre arbeid med informasjonssikkerhet. Disse er presentert på neste trinn.

Her presenterer vi noen nye råd for det videre arbeidet med informasjonssikkerhet. Disse rådene er heller ikke uttømmende, men er også i noen grad grunnleggende for arbeidet med informasjonssikkerhet.

Vurder hvilken informasjon som er av konfidensiell art i organisasjonen. Planlegg hvordan organisasjonen kan sikre den konfidensielle informasjonen.

Vurder hvordan organisasjons integritet kan bli påvirket i dette tilfellet. Planlegg hvordan organisasjonen kan beholde sin integritet etter en slik hendelse.

Vurder hvordan mangel på tilgjengelighet av informasjon kan påvirke organisasjonen.

Planlegg hvilken informasjon som bør være tilgjengelig til enhver tid, og hvordan organisasjonen bør jobbe med dette.

Vurder hvordan GDPR og personvern overholdes i din organisasjon i forhold til dette scenarioet.

På neste trinn blir dere nå ledet inn i siste del av scenarioet. Start gjerne med en åpen diskusjon også denne gangen, og benytt rådene dere allerede har fått.

Nå blir du ledet inn i siste del av scenarioet. Denne gangen anbefaler vi at dere benytter de råd dere hittil har fått for å diskutere utviklingen i scenarioet.

«Eieren» av studiet, Hans, oppdager at Oda har vært inne på det siste oppdaterte Excel-arket, da det har blitt automatisk lagret i hennes navn. Han kontakter Oda for å spørre hvorfor hun har vært inne på arket, men får kun et «luftig» svar. Han føler ubehag ved situasjonen, og velger derfor å kontakte sin nærmeste leder for å finne ut av situasjonen. Studiet inneholder flere personopplysninger, og han er bekymret for innblikket Oda kanskje kan ha fått ved å ha tilgang til og å kunne lese disse opplysningene. Han diskuterer med sjefen sin om dette er en sak de kan klare å ordne internt, og de diskuterer også hvilke konsekvenser åpenhet har for deltakerne i studiet, bedriften, og i ytterste konsekvens for samfunnet.

På neste og siste trinn gjøres en oppsummering av diskusjonsøvelsen og dere får også presentert anledning til å delta på evalueringsundersøkelsen.

Vi håper dere nå har hatt noen spennende og oppklarende diskusjoner, og at øvelsen var nyttig for din virksomhet. Ta gjerne en titt på de øvingsmålene dere definerte og se om dere fikk diskutert disse. 

Nå er det lurt å notere seg "funn" og erfaringer sett opp mot virksomhetens beredskapsplaner og se om noe skal justeres. 

Fyll gjerne ut evalueringsundersøkelsen. Dette vil gi oss verdifullt underlag for å gjøre øvelsene enda bedre. 

Gå til spørreundersøkelse

Vel gjennomført, og lykke til med nye øvelser!