Denne uken rundet vi 50 risikovurderinger gjennomført i Diri på NTNU og det er verdt å feire! Vi ser på det som et testament til brukervennligheten i Diri at så mange har klart å bruke verktøyet riktig uten opplæring! Dette viktige området kan ikke lengre være forbeholdt eksperter, filosofien vår er at risikovurderinger må kunne utføres av mange folk i ulike roller. Derfor må så mange som mulig kunne komme i gang med Diri på egenhånd, og heller spørre om hjelp hvis de blir sittende fast. Det er dette vi mener med Risikostyring til folket!

Bakgrunn

Konseptet Diri oppstod først på NTNU IT under navnet Cyber Risk Assessor. Risikostyring av informasjonssikkerheten var et problem som måtte løses som en del av arbeidsoppgaven vår i seksjon for Digital sikkerhet. Da vi stiftet Diri AS inngikk vi avtale med NTNU om bruksrett på Diri versjon 1 og vi startet et pilotprosjekt. Diri er den første spin-off fra Felles administrasjonen på NTNU. Les mer om bakgrunnen for prosjektet i veien til Diri del 1 Bakgrunn, forskning og praktisk risikostyring  og del 2 Innovasjon, finansiering og start-up.

Status

Vi er nå glade for å melde at flere og flere ser nytteverdien av Diri: siden oppstarten av pilotprosjektet i mars i år har Diri grodd organisk på NTNU! Ettersom Diri har blitt bedre, har også ordet om at Diri er veien spredd seg og vi får ukentlig flere brukere. Flere er ivrige og kommer med massevis av gode tips om endringer og forbedringer. Dette er svært nyttig for oss siden NTNU bidrar til storskala testing av verktøy og vi får direkte tilbakemeldinger på hvor godt vi skalerer og hvor godt verktøyet fungerer innenfor mangfoldige problemstillinger.

Den første opplæringen i Diri på NTNU ble først gitt i november, men majoriteten (ca. 50) av risikovurderingene i databasen ble gjennomført før det. Opp til nå har Vebjørn bistått ved behov og svart på spørsmål fra brukere. Temaet risikovurderinger er selvsagt litt sensitivt så vi kan ikke dele for mye om pilotprosjektet, men noen nøkkeltall kan vi dele:

Nøkkeltall

I skrivende stund har vi ca 40 aktive brukere fra NTNU i løsningen. Som nevnt har vi i overkant av 50 risikovurderinger fra NTNU i Diri, de fleste av disse er av IT-systemer. Den eldste er fra 22. mars og den nyeste er fra denne uken (8. november). I disse risikovurderingene er det tilsammen identifisert ca 90 informasjonsverdier, 250 risikoer og 130 tiltak. Fordelingen på tiltakene er illustrert i figuren ovenfor. At et tiltak står som åpent betyr at det er definert og foreslått, men ikke tatt inn som en del av tiltaksplanen. Med tanke på at dette er relativt nye data så viser det at det er bra trykk på gjennomføringen av tiltak hos NTNU.

Gjennom Diri-verdivurdering får man kartlagt de viktigste informasjonsverdiene i IKT-systemene. Resultaene viser at bare ett av de vurderte systemene håndterer strengt fortrolige data, men noen flere av de risikovurderte systemene inneholder særlige kategorier med personopplysninger (se illustrasjonen i figuren til høyre). Sektorene i kakediagrammet er også klikkbare i Diri. Alt som hentes inn av data i Diri kan brukes i statistikk og som beslutningsgrunnlag.

I Diri er antall nivåer for risikmatrisen og informasjonsklassifisering konfigurerbart. Universitet- og høgskolesektoren benytter typisk 4 nivåer for klassifisering av informasjon innenfor krav til konfidensialiet, integritet og tilgjengelighet. Enkelte systemer håndterer strengt fortrolig informasjon og har kritiske krav til integritet, men det er ikke overraskende at det er tilgjengeligheten som oftest vurderes som mest kritisk når vi sammenligner resultaene  på NTNU: Universitetet må ha tilgjengelige tjenester for sine store brukermasser av studenter og ansatte.

Forhåpentligvis uten å avsløre for mye så har vi i denne artikkelen har vi delt litt av gevinsten som kan uthentes ved å bruke Diri. Tilbakemeldingene vi får er stort sett positive og vi er svært takknemlige til de som benytter verktøyet og tar seg tid til å hjelpe oss med forbedringer!

Avslutningsvis vil vi nevne at alle med en aktiv NTNU-bruker kan logge inn i løsningen ved å benytte “Sign in with Microsoft”-alternativet. Andre som vil prøve Diri kan ta kontakt på contact@diri.no.