Cystore

Informationssäkerhet

När vi sätter oss i en bil så är det första vi gör att ta på oss säkerhetsbältet. Varför gör vi det? För att det är en säkerhetsåtgärd som kan innebära liv och död. Vi gör det ifall vi skulle krocka, inte för att vi räknar med att det kommer att inträffa.

Idag på krogen håller människor avstånd och spontana möten sker inte på samma sätt. Är det för att vi inte längre vill träffas? Nej, för att vi vill skydda oss, medmänniskor och följa uppsatta regler och förordningar pga. Covid 19. Ännu en säkerhetsåtgärd.

Men när det kommer till att skydda information är agerandet något annat. Många gånger fortsätter vi att jobba utan säkerhetstänket och hoppas på att förbli osedda av auktoriteter och slippa följa reglerna. Regler som är skapade för vårt eget bästa. För att minimera risker.

  • Är inte våra informationstillgångar tillräckligt skyddsvärda?
  • Är inte privacy och compliance viktiga frågor?
  • Är det inte vår information som hackers jagar och randsomware krypterar?
  • Är det inte dags att se till att informationssäkerhet faktiskt får den uppmärksamhet som det förtjänar?

Varför agerar vi annorlunda när det kommer till just informationssäkerhet?

Vi förlitar oss för mycket på sunt förnuft. Något som är hur oförnuftigt som helst.

Datamängden ökar hela tiden och med den snabba digitaliseringen blir vår miljö alltmer komplext och det innebär även fler krav på oss. Samhället blir alltmer beroende av tekniska system och då måste dessa vara robusta och enkla att arbeta i. Människor, processer och rutiner måste finnas på plats.

Dagligen får vi följa med i nyheternas värld där vi kan läsa om cyberattacker, webbsidor ligger nere, myndigheter läcker information, etc. Det ligger där framför våra ögon. Vi vet att något måste göras men vi vet inte hur vi ska göra det.

Vi agerar inte trots ökande krav och risker för attacker, hur kommer det sig?

Väldigt många upplever informationssäkerhet som något abstrakt och inte konkret. För att hantera frågan behöver vi få in struktursystematik och inte bortse från behovet.

Så här blir du mer konkret, relevant och tydlig

Det som behövs för att bli krispigare är en effektiv styrningsmodell (LIS), ha koll på verksamheten och ha ett system för informationssäkerhet. Ett bra första steg är att införa LIS. Alla har någon typ av styrningssystem. Det gäller att återanvända det bästa ur den befintliga styrmodellen och utveckla den till en fungerande LIS modell.

You lost me at LIS. Vad är LIS?

Ledningssystem för informationssäkerhet (LIS) är ett stöd för hur informationssäkerhetsarbetet styrs i verksamheter. LIS består av policy, riktlinjer, instruktioner, anvisningar, rutiner, processer och tillhörande resurser som gör att organisationen kan uppnå sina mål för informationssäkerhet.

  • LIS är en systematik för att säkra informationen. Det är en försäkring
  • Vi vet vad vi har, hur vi ska agera och hur vi återställer information

Varför skulle vi frivilligt vilja utsätta oss för detta abstrakta arbete?

Ni investerar i en försäkring. På så sätt slipper ni bli överraskade. När något oväntat plötsligt inträffar så vet alla hur de ska agera för att få upp produktionen så snabbt som möjligt. Medvetenheten om vilka risker som finns runt omkring oss ökar också. Se det som en långsiktig investering.

Fördelarna med ett LIS är många:

  • Ekonomi
    Organisationen får en god informationssäkerhet som är anpassad efter verksamhetens förutsättningar och behov. Verksamheten får en bra säkerhetsekonomi genom att säkerhetsincidenter kan undvikas via ett väl avpassat, ändamålsenligt och kostnadseffektivt skydd.
  • Efterlevnad
    Verksamheten säkerställer att legala krav efterlevs och revisioner klaras bättre. Det kan gälla exempelvis skydd av personuppgifter i enlighet med GDPR.
  • Styrning
    Ledningen får möjlighet att styra och följa upp informationssäkerheten så att man kan bevaka att skyddet är effektivt och ändamålsenligt.
  • Kommunikation
    Verksamheten ansluter sig till ett vedertaget sätt att arbeta med informationssäkerhet och anammar en gemensam terminologi.
  • Förtroende
    Genom säkerhet i informationshanteringen kan omvärlden och kundernas förtroende för organisationen bibehållas och öka. Du ger intressenter en trygghet. Du gör det för kunden.

Finns det en LIS-mall som passar alla?

Eftersom organisationer varierar i storlek, företagskultur, har olika krav på sig så är det svårt att ta fram en LIS-mall som passar alla. LIS kan utarbetas på så många sätt och anpassas till många olika behov, nivåer och regulatoriska krav. Många gånger finns det uppstaplat vilka områden eller processer som ska finnas på plats, men inte hur det ska göras.

Det är här ramverk som ISO 27001 kommer in i bilden och blir det som guidar er och det vi utgår från. Låt oss se det från den ljusa sidan; vi kan ju vara hur kreativa som helst.

Går det att ta hjälp i någon form?

Ja, absolut! 

Det finns standardiserade ramverk som kan hjälpa oss. Låt oss ta ISO 27000-serien som exempel, som har mer konkretiseringar i ISO 27004. Där ligger de konkreta aktiviteterna och rena kontrollmål. Nu vet vi hur vi ska göra det.

Hur kommer vi snabbast i gång?

Börja med att:

  • Definiera varför det ska göras. Få igång engagemang inom organisationen.
  • Bestäm omfattningen
  • Dela ut ansvar
  • Gör en nulägesanalys – vart är vi?
  • Omvärldsbevakning – hur gör andra?

Och:

  • Ange er målbild med arbetet
  • Involvera verksamheten i arbetet och projektet
  • Kommunikationsplan måste finnas
  • Inventering och kartläggning

Vill du veta mer om LIS-implementering eller informationssäkerhetsarbete så tveka inte att höra av dig.

Informationssäkerhetskonsult

Caroline Dristig