Informationssäkerhet
Vad handlar Informationssäkerhet om?
Information är hårdvaluta. Informationssäkerhet handlar om att skydda sin värdefulla information så att den inte förstörs, försvinner eller kommer i orätta händer. Det handlar om all typ av information, sifferdata, text, ljud, bilder eller film. Informationen kan lagras och bearbetas på papper eller i datorfiler och kan kommuniceras via e-post eller mänskligt tal.
Tre grundläggande begrepp
Konfidentialitet: Att förhindra att information röjs för obehöriga.
Riktighet: Att vi kan lita på att den information vi använder i vår verksamhet är korrekt och fullständig och inte manipulerad.
Tillgänglighet: Att säkerställa att informationen är åtkomlig och användbar när vi behöver den.
Generellt går det inte att rangordna dessa tre principer. Utan kraven och behoven varierar mellan olika typer av information och vilka aktuella situationer som föreligger när det gäller informationsbehandlingen.
Hotbilder
I dagens digitaliserade värld där nästan alla datorer är sammankopplade via internet är informationen utsatt för helt andra hot än tidigare. Hoten kan komma från enskilda individer, men de också komma från organiserad brottslighet, statsmakter eller terrorister. Angripare försöker ta sig in i organisationers datasystem för att stjäla eller förstöra data för egen vinning. Det råder en ständig kamp mellan hot från angripare och skydd av data.
Utvidgat begrepp
På grund av digitaliseringen har begreppet informationssäkerhet utvidgats till att även omfatta IT-säkerhet (IT = informationsteknik) och cybersäkerhet.
Informationssäkerhet handlar om säkerhet för information som kan vara både fysisk och digital (handskrivna papper eller information i datorsystem).
IT-säkerhet handlar om säkerhet för information i datorsystem och dess sammankopplingar.
Cybersäkerhet kan i princip likställas med IT-säkerhet eller säkerhet i cyberrymden (internet).
Informationssäkerhet är alltså det samlande namnet. IT-säkerhet/cybersäkerhet är delar av informationssäkerhet.
Verktyg i informationssäkerhetsarbetet
Det finns ett antal bra standardverktyg att luta sig emot när det gäller informationssäkerhetsarbetet. Några som är väl beprövade och används över hela världen är:
CIS Controls som är ett omfattande åtgärdspaket för IT-säkerhet med ett antal kontrollpunkter.
NIST–CSF (Cyber Security Framework) som reglerar hur man strukturerar riskarbete, mäter risk, väljer säkerhetsåtgärder och utför säkerhetsarbete i en organisation.
ISO 27000-serien som är ett ledningssystem för informations- och cybersäkerhet som tar sin utgångspunkt i en verksamhetsanpassad riskanalys och där säkerhetsarbetet följer en tydlig process.
Informationssäkerhet är ett komplext område
Den som ansvarar för arbetet med informationssäkerhet i en organisation behöver ha en mängd kompetenser och förmågor för att kunna kommunicera med olika aktörer inom och utanför organisationen.
Förutom IT-orienterade ämnen som datateknik och informatik innefattas även samhällsvetenskapliga och beteendevetenskapliga ämnen som företagsekonomi, psykologi och juridik.
Ledningens och medarbetarnas ansvar
Ledningen har det övergripande ansvaret för informationssäkerheten inom organisationen och är ytterst ansvarig vid incidenter. Det är ledningens uppgift att organisera informationssäkerhetsarbetet så att skador kan minimeras vid en eventuell cyberattack.
I organisationshierarkin är sedan cheferna för de olika verksamhetsdelarna ansvariga för informationssäkerheten i sina delar. Den enskilde medarbetaren är ansvarig för informationssäkerheten i de egna arbetsuppgifterna.
Egna medarbetares oavsiktliga felgrepp kan också ge upphov till incidenter. Utbildning och skapande av en informationssäkerhetskultur inom hela organisationen är därför också viktiga åtgärder för informationssäkerheten.
Myndigheten för samhällsskydd och beredskap (MSB) har som uppgift att samordna arbetet med informationssäkerhet i samhället. www.msb.se
