Upplýsingaöryggi - InfoSec

Fréttir fyrir grunnskóla

Hér verður hægt að nálgast nýjustu fréttir af framgangi persónuverndarvinnu fyrir grunnskóla.

Tölfræði úr áhættumatsskýrslum og samanteknar ályktanir

Þegar þetta er skrifað, hef ég farið yfir sjálfsmatsskjöl 142 grunnskóla.  Dreifing á svörum skólanna er mikil, allt frá hve margir upplýsingaflokkar voru skoðaðir, fjölda hlutverka og upp í líkurnar á atvikum.

Þessir 142 grunnskólar mátu samtals 5712 upplýsingaflokka og á bilinu 5 til 17 hlutverk fyrir hvern flokk.  Þetta gerir að meðaltali 40 flokkar á hvern skóla eða að meðaltali rúmlega 10 á hvern af þáttunum fjórum, þ.e. tiltækileika, trúnaður notenda, trúnaðarbresti óviðkomandi og réttleika.  Hjá tveimur skólum náði matið bara til 16 upplýsingaflokka, þ.e. að meðaltali 4 fyrir hvern þátt sjálfsmatsins.  Sá sem skoðaði flesta flokka, var með 64 flokka eða að meðaltali 16 fyrir hvern þátt.

5712 upplýsingaflokkar þýða 5712 hæstu áhættugildi, en af þeim reyndust 3003 fela í sér litla eða ásættanlega áhættu (grænn litur) sem gerir 52,6% tilfella, 2165 sinnum reyndist áhættan miðlungs sem gerir 37,9% tilfella, 437 sinnum var áhættan mikil og 105 sinum mjög mikil.  Tveir hæstu áhættuflokkarnir koma því fyrir í 9,5% skipta.

Dreifing hjá einstökum skólum var hins vegar mjög mikil og er það ekki síður áhugavert að skoða.  Þrír skólar töldu alla áhættu vera litla/ásættanlega, meðan hjá tveimur skólum var enginn flokkur með hæsta matsgildi lítið, ein tilviðbótar var með litla áhættu einu sinni og þrír með litla áhættu tvisvar.  Dreifingin var því frá 0 og upp í 100% tilfella.  Að meðaltali kom lítil áhætta fyrir ríflega 21 sinni hjá skólunum 142.  Áhyggjuleysið vegna áhættu virðist annars vegar tengjast minnstu skólunum og hins vegar skólum í Kraganum.

Miðlungsáhætta kom oftast fyrir í 32 skipti af 36 eða tæplega 89% tilfella, sem jafnframt var hæsta hlutfallið.  Dreifingin er því frá 0 og upp í 89% en að meðaltali ríflega 15 sinnum hjá hverjum skóla.  Tveir neðstu áhættuflokkarnir komu fyrir í 90,5% tilfella.  Nú eru það hins vegar skólar í Reykjavík og á Suðurlandi sem raða sér í efstu sætin auk eins skóla í viðbót.

Tveir skólar skáru sig úr varðandi mikla áhættu, annar með 20 tilfelli og hinn 19 tilfelli.  Það merkilega við þetta er að þeir eru nánast eins langt í burtu frá hvor öðrum og hægt er að hugsa sér.  Þegar litið til þess, að mikil áhætta kom að jafnaði fyrir rétt rúmlega þrisvar sinnum, þá verða þessi 19 og 20 tilfelli að teljast frávik, sérstaklega þegar tæp 40 og rúm 55% tilfella af heildinni hjá þessum tveimur skólum.

Þegar kemur að mjög mikilli áhættu, þá er eiginlega hægt að hún sé öll vegna tiltækileika eða 103 sinnum.  Aðeins tvisvar kom hún fyrir hjá öðrum þáttum, í bæði skipti hjá sama skóla vegna trúnaðar notenda.  Tveir skólar töldu tímaviðkvæmni sína vera mjög mikla fyrir alla 9 upplýsingaflokkana, meðan sá þriðji taldi svo vera í 8 skipti af 12.  Skólarnir þrír eru hver í sínum landshluta.

Hvað segir þessa mikla dreifing mér sem sérfræðingi í áhættustjórnun?  Ja, það kemur mér ekki á óvart í hve mörgum tilfellum skólarnir meta áhættuna litla.  Í þremur þáttum af fjórum var verið að spyrja um traust skólastjórnenda til starfsfólks síns og þessi niðurstaða sýnir að þetta traust er mikið.  Hitt er að skólarnir hafa flestir verið starfandi áratugum saman án þess að komið hafi upp meiriháttar atvik.  Það þýðir að góð rútína er í skólastarfinu og starfsfólk veit hvernig á að umgangast upplýsingar.  Þetta skein í gegn um svör margra skólanna.  Þar var mikill agi, mjög góð öryggisvitund og þeir höfðu búnað og hirslur til að styðja við hátt öryggisstig.  Ekki það, að ég held að allir skólarnir hafi mikla öryggivitund, en umhverfi þeirra er einfaldlega misjafnt. 

Marino G Njalsson