Et sikkerhetsprogram, sikkerhetstiltak, eller hva enn man vil kalle det, har som mål å håndtere risiko så den blir mindre.
For å klare dette er det flere nødvendige faser:
- Autoritet og ansvar – man må først bestemme hvilket ansvar programmet skal ha. I tillegg må det gis tillatelse til at programmet kan gjøre det det trenger å gjøre. Dette inkluderer da også ressursbruk.
- Rammeverk – med utgangspunkt i en samling av vedtatte generelle policyer, standarder og veiledninger (f.eks. ISO 27000) kan man bygge et forsvarlig sikkerhetsprogram som også lar seg forsvare overfor andre.
- Evaluering – man må vurdere hva som trenger beskyttelse. Dette innebærer risikoanalyse basert på identifiserte trusselvektorer. Her kan man ikke glemme at trusler ofte kommer innenfra. Til slutt bestemmer man hvilke utbedringer som er nødvendige og da må man ha de tre D-er i bakhodet.
- Planlegging – hvert initiativ over må gis en prioritet og tidslinje for implementering. Det er veldig viktig å fokusere på de svakeste leddene i kjeden først. Gapende sikkerhetshull må derfor tettes før man øker sikkerheten andre steder. Siden sikkerhet er en kostnadsdriver må man finne en passende balansegang.
- Utførelse – med utgangspunkt i det som er avdekket over utarbeider man sikkerhetspolicier, sikkerhetsstandarder, sikkerhetsprosedyrer og sikkerhetsguider som virksomhetens ansatte må følge. Dette inkluderer også handlingsplaner ved sikkerhetsavvik.
- Vedlikehold – dette blir mer et evigvarende trinn fordi man over tid må passe på at programmet følges. Derfor må man også gi oppfriskningskurs/opplæringskurs. Programmet må også fornyes hvis det skjer noe som endrer dets opprinnelige forutsetninger.
Omfanget til sikkerhetsprogrammet blir vanligvis så stort at man jobber iterativt og ikke etter fossefallsmetoden.
TBC