IT-säkerhet

Vad skiljer IT-säkerhet från informationssäkerhet?

IT (informationsteknik) är ett verktyg för att hantera information. Säkerheten i IT-system och IT-infrastruktur kallas IT-säkerhet och är en del av helhetsbegreppet informationssäkerhet, som handlar om all typ av information inklusive sådant som handskriven och talad information.

  • Informationssäkerhet: Bevarande av konfidentialitet, riktighet och tillgänglighet hos information.

  • IT-säkerhet: Bevarande av konfidentialitet, riktighet och tillgänglighet hos information i digitala system.

Begreppet cybersäkerhet förekommer också och är i princip samma sak som IT-säkerhet.

IT-system

IT-system är digitala verktyg som stöder olika processer. Det kan vara allt från mindre egenutvecklade applikationer i standardprogram till stora övergripande affärssystem.

Administrativa processer kan till exempel stödjas av ekonomisystem, ärendehanteringssystem, diariesystem och personalhanteringssystem. Det kan ofta vara standardsystem som är anpassade till den egna organisationens verksamhet.

Hot mot IT-system

Hoten mot IT-systemen kan komma från enskilda personer eller grupper som försöker stjäla eller förstöra information. De kan också komma från andra stater eller terrororganisationer som informationsinsamling eller sabotage.

Man behöver inte längre vara IT-expert för att utföra olika former av IT-attacker eller sprida skadlig kod. Under de senaste åren har det blivit enklare och lättare att utföra attacker. Man kan till och med beställa de tjänster man vill ha utförda på en illegal marknad för olika typer av attacker.

Några konkreta IT-skyddsåtgärder

Några åtgärder som kan vara aktuella i säkerhetsarbetet är till exempel skydd av IT-system i form av brandväggar, antivirusprogram, regelbundna säkerhetskopieringar, uppdateringar till nya och säkrare versioner av programvara, krypteringsskydd och annat. Övrigt säkerhetsarbete kan vara säkerhetsutbildning av såväl personal som ledning. Organisationen kan också behöva skriftliga föreskrifter i form av en gemensam säkerhetspolicy.

Några viktiga saker att hålla ögonen på

Datorer och mobila enheter

Nästan alla datorer är uppkopplade mot internet. Detta gäller också ofta för arbetsplatsens mobiler och surfplattor.

Säkra programvaror och appar

Ladda bara ner programvaror och appar från kända källor. Uppdatera dem kontinuerligt.

Skydda nätverk

Verksamhetens brandväggar ska vara säkra och lösenorden starka. Viktig information bör vara krypterad.

Säkra externa IT-tjänster

Upprätta juridiska avtal med externa leverantörer av IT-tjänster.

Kontrollera behörigheter

Det ska finnas tydliga rutiner kring vilka IT-system som medarbetare får tillgång till.

Utbilda personal

Den mänskliga faktorn står för de flesta IT-relaterade incidenterna. Alla i en organisation ska ha den kunskap och förståelse som krävs för att minska risken för misstag.

Säkerhetskraven ska styra

Eftersom IT-system kan se så olika ut och användas i en mängd olika miljöer och i olika syften så varierar förstås också säkerhetskraven på systemet. Det är den som är ansvarig ägare till systemet och informationen i systemet som ska ställa krav på systemets säkerhet. Säkerhetskraven ska utgå ifrån skyddsvärdet på informationen och de risker som systemet bedöms vara utsatt för. Säkerhetskraven ska styra vilka säkerhetsåtgärder som ska finnas i systemet inom tex följande områden:

  • Användarinstruktioner - Regler för inloggning och lösenordshantering.

  • Autentisering - Enkel autentisering eller flerfaktorsautentisering.

  • Behörigheter - Vilka som ska ha tillgång till olika delar av systemet.

  • Incidenthantering - Detektering, rapportering, utredning och åtgärder vid incidenter.

  • Kryptering - Krav på kryptering av känslig information.

  • Utbildning - Relaterade till olika roller som tex användare, administratörer, tekniker.

  • Spårbarhet - Särskilda rutiner vid loggning (inspelning) av aktiviteter.

  • Säkerhetskopiering - Krav på rutiner för säkerhetskopiering.

Nationellt cybersäkerhetscenter

Härifrån kan man ladda ner några dokument om IT-säkerhet: www.cfcs.se/publikationer

Cybersäkerhet i Sverige 2020 – hot, metoder, brister och beroenden

Cybersäkerhet i Sverige 2020 – rekommenderade säkerhetsåtgärder

Har du behov av hjälp med IT- eller informationssäkerhet? Läs mer om våra tjänster!