Vikten av att skydda sina informationstillgångar

Mängden information vi dagligen hanterar ökar exponentiellt och blir allt svårare att överblicka. Detta innebär också att konsekvenserna av att informationstillgångar hanteras på ett felaktigt sätt blir betydligt mer omfattande.

Några exempel där felaktig hantering av informationstillgångar har fått stora konsekvenser:

  • Lösenord till Försvarsmaktens server till salu på nätet i ett forum kopplat till Ryssland.
  • Heathrow Airport får betala ca 1.4 miljoner kr (£120.000) i böter för undermåligt skydd av information, på grund av ett förlorat USB minne innehållande personuppgifter.

Vad är en informationstillgång?

En informationstillgång är en organisations informationsrelaterade tillgångar vilka utgör ett värde och därmed är skyddsvärda. Exempel på detta kan vara databaser, dokument, applikationer, datorer och telefoner. En informationstillgång kan vara av fysisk eller logisk karaktär.

Vad behöver man göra för att skydda sina informationstillgångar?

I syfte att säkerställa att hanteringen av informationssäkerhetstillgångar är i linje med de krav som ställs för respektive verksamhet, behöver man genomföra tre huvudaktiviteter:

  1. Etablera ett nuläge, dvs att ni vet var ni står idag.
  2. Beskriv ett ”bör”-läge, dvs var ni behöver befinna er för att leva upp till verksamhetens krav.
  3. Ta fram en plan med aktiviteter, som behöver genomföras för att nå de uppsatta målen.

För att veta vart ni står idag, behöver ni genomföra en analys i syfte att få fram ett tydligt definierat nuläge. I denna analys bör man gå igenom följande; identifiering av verksamhetens väsentliga informationstillgångar, vem som äger dessa informationstillgångar, kartläggning av interna och externa intressenter och identifiering av informationssäkerhetsrisker. Omfattningen av denna analys är dels kopplat till verksamhetens storlek och komplexitet, samt vilken informationssäkerhetsmognad som finns i verksamheten. Det är viktigt att arbetet med analysen genomförs gemensamt mellan IT, verksamhet och säkerhetsfunktionerna.

För att få fram en bild över var verksamheten behöver befinna sig måste man jämföra dagens situation med var ni behöver vara. Detta löser ni genom att genomföra en GAP-analys, där syftet är att identifiera skillnaden mellan den informations¬säkerhets¬nivå som ni behöver uppnå och den faktiska nivån på er informationssäkerhet vid analystillfället. Med hjälp av en gap-analys synliggör ni ett eventuellt gap mellan dessa två nivåer som ni behöver överbrygga genom att utforma och införa ett antal olika säkerhetsåtgärder för informations¬säkerhet.

Åtgärdsplan

Summan av ovan analyser kommer att ge er en bild av vilka åtgärder ni behöver planera och genomföra för att skapa ett adekvat skydd gällande era informationstillgångar.

Hur kommer ni vidare?

Om organisationen har en informationssäkerhetsorganisation bör ni kontakta dem för råd och stöd om hur ni går vidare. Har organisationen inte kompetens eller resurser att genomföra informationssäkerhetsarbetet själva, bör ni ta hjälp av en extern part som har erfarenhet av detta och som kan hjälpa er med metoder och verktyg som underlättar. Det är dock alltid viktigt att ledningen utser en ansvarig för arbetet, som tilldelas resurser i form av både tid och budget för att kunna genomföra arbetet.

Vill ni veta mer om hur ni säkrar era informationstillgångar?

Vi på Cygate har erfarenhet av informationssäkerhetsarbete och kan stötta er i dessa frågeställningar.

Kontaktuppgifter:
Fredrik Börjesson
fredrik.borjesson@cygate.se
Tel: 072 509 86 31