ARBEIDSLIV
Bransjens beste råd: Slik minimerer du innsiderisiko
Finans Norges nye veileder skal gi svarene medlemmene trenger på sikkerhet knyttet til rekruttering, innsidere og ved avsluttende arbeidsforhold. – Trusselbildet er blitt mer komplisert og medlemmene våre må forholde seg til dette i økende grad, sier advokat Cathrine Bjoland-Øverby i Finans Norge.
På tampen av forrige uke lanserte Finans Norge sin veileder på personellsikkerhet i finansnæringen. Veilederen er utviklet for medlemsbedriftene og skal gi en helhetlig innføring i hvordan bedrifter kan ivareta personellsikkerheten gjennom hele arbeidsforholdet.
De norske etterretnings-, overvåkning- og sikkerhetstjenestene har de siste årene varslet om et stadig forverret trusselbilde, spesielt i det digitale rom. I Finans Norges veileder har DNB, Gjensidige, Fana Sparebank, Storebrand, Aker og Telenor vært bidragsytere til noe Finans Norge mener bransjen både trengte og har ønsket seg.
– Vi har sett en økende etterspørsel fra medlemmene på at de trenger veiledning og råd. Det er et stort og komplisert felt, innenfor blant annet sikkerhet, jus, diskriminering og forretning. Det er ikke ett samlested for å få den veiledningen man trenger, sier advokat Cathrine Bjoland-Øverby i Finans Norge til BankShift om hvorfor man nå valgte å lage en slik veileder.
Komplisert trusselbilde
Veilederen tar for seg forhold for ivaretakelse av personellsikkerhet ved rekruttering av ansatte, underveis i arbeidsforholdet og ved avslutning av arbeidsforholdet, og trekker frem punkter for hva som er viktig for bedriften i de forskjellige prosessene. Veilederen gir også et innblikk i rammevilkårene bedriftene må følge, for blant annet forskjellen mellom risiko og diskriminering i en ansettelsesprosess.
– At vi nå har laget et dokument fra A til Å der man kan få veiledning, er én ting. Trusselbildet er blitt mer komplisert og medlemmene våre må forholde seg til dette i økende grad. I tillegg har finansnæringen noe særeget ved seg, og det gjorde at vi trengte noe eget som treffer konkret, sier Bjoland-Øverby.
Næringslivets sikkerhetsråd beskriver personellsikkerhet følgende: «Helhetlig håndtering av risikoen for at personell med legitim tilgang til virksomhetens verdier påfører virksomheten skade eller tap».
Fagdirektør for cybersikkerhet i Finans Norge, Pål Christian Waag, er klar på at man som bedrift er nødt til å ha oversikt på det helhetlige, på et tema han mener det ikke er god nok kommunikasjon på.
– Innsiderisiko er underkommunisert når vi snakker om cybersikkerhet. Vi må tenke helhetlig, på forutsetninger, rekruttering, underveis og på avslutning. Og da må vi ha en risikovurdering i bunn. Man bør også ha en oversikt over hvilke stillinger som går direkte inn på verdiene i selskapet. Det er også lite hensiktsmessig at alle har de samme sikkerhetstiltakene over hele linja, sier Waag til BankShift.
Veilederen gir følgene tips til hvordan man gjennomfører en risikovurdering og en konsekvensanalyse, og går detaljert inn på hvert punkt:
- Definer score og team
- Identifiser de viktigste forretningsmessige, kritiske funksjonene som må beskyttes
- Vurdere hvilke systemer eller prosesser de kritiske funksjonene er avhengig av
- Vurder konsekvenser ved avbrudd eller bortfall av delprosesser eller delsystemer, inkludert økonomiske tap, omdømmeskader og operasjonelle utfordringer
- Identifiser kritiske ressurser: Bestem hvilke ressurser (personell, teknologi, lokaler) som er nødvendige for å opprettholde kritisike prosesser
- Sett klare mål og krav for gjenoppretting
- Prioriter de kritiske funksjonene
- Dokumentér vurderingene
Ingen «one man show»
Waag påpeker at arbeidet med innsidesikkerhet ikke er noe «one man show» og at rammebetingelsene er i stadig endring.
– Den endringen som har vært i det geopolitiske og sikkerhetspolitikken gjør at det reiser seg mange nye spørsmål. Da er det lett å havne midt i grøten. Når er det diskriminering, eller når er det saklig forskjellsbehandling? Det er vanskelige spørsmål, sier han.
Bjoland-Øverby tror den største utfordringen for medlemsbedriftene er at man er i startgropen, og at mange trenger hjelp til å forstå hvordan man kan sette det i system. Og det mener Waag den nye veilederen gjør.
– I store bedrifter har de gjerne egne ulike avdelinger, sånn at det er lett å koble fagkombinasjonene sammen. Men i de mindre kan det hende de ikke finnes, så da skal denne veilederen kunne hjelpe sånn at man klarer å gjøre gode vurderinger og eventuelt hente ut det rådet man må ha for å få de svarene man trenger, sier Waag.
Derfor lister veilederen også opp gjennomgående tiltak bedriftene burde gjennomføre:
- Etablere et tverrfaglig team for å håndtere personellsikkerhet
- Vurdering ab høyrisikoland
- Opplæringsprogram
- Sikkerhetskulturprogram
- Varslingssystem for innsidetrusler
- Oppdatering av beredskapsplanverk
- Sikkerhet som del av medarbeidersamtale
- Sikkerhetssamtale/sårbarhetssamtale
- Tilgangsstyringskontroll og revisjoner