Systematiskt informations-säkerhetsarbete
Information är hårdvaluta i ett kunskapssamhälle.
I en organisation är det av största vikt att skydda alla de värdefulla data som ofta är grunden till hela verksamheten. Informationen får inte försvinna, förvanskas eller komma i orätta händer. Organisationens medarbetare måste kunna lita på att informationen de använder är riktig och att den bara är tillgänglig för dem som är behöriga. Men information är inte bara teknik och it. Den har också mänskliga dimensioner i form av handskrivna anteckningar och förtroliga samtal mellan medarbetare.
Olika grader av informationskänslighet
Information kan utgöras av databaser med uppgifter av olika slag. Det kan vara register av öppna data som inte är i stort behov av skydd. Det kan också vara hemliga uppgifter, som bankkontouppgifter, patientjournaler eller forskningsresultat. Information kan också ingå som grunddata i komplicerade styrsystem. Utomstående angrepp på sådana system skulle i vissa fall kunna leda till katastrofala följder. Därför måste de skyddas till varje pris. Varje typ av information måste få anpassade nödvändiga och tillräckliga skydd.
Risker och hot
Information som kommer i orätta händer kan orsaka skada för organisationens arbete. Informationen måste därför förvaras på ett säkert sätt så att den alltid är åtkomlig för organisationens medarbetare och skyddad mot utomstående hot. Inkräktare skall inte kunna stjäla information eller förvanska den så att organisationens arbete försvåras. Risker och hot finns på hela skalan från rent slarv eller okunnighet hos den egna personalen till externa utpressningsförsök, sabotage och terrorverksamhet.
Hoten ökar
De flesta organisationer blir alltmer beroende av olika typer av information och informationsteknik. Det innebär att känsligheten för risker och hot ökar. Samtidigt blir hoten allt mer sofistikerade, och obehöriga intrång i organisationers informationssystem ökar. Det kan till exempel vara dataintrång, bedrägerier eller spridning av skadlig kod. Aktörerna kan vara enskilda individer, organiserade brottslingar, terrorister eller statsmakter.
Sannolikhet och konsekvens
En risk kan vara mer eller mindre sannolik. Vissa saker kan hända när som helst, andra kan ha en sannolikhet att hända en gång på hundra år. Konsekvenserna av en händelse kan variera från irriterande till katastrofal. Det är viktigt att i analysarbetet hantera sannolikhet och konsekvens var för sig. Låt inte en låg risk medföra en nedvärdering av konsekvenserna. Stora konsekvenser kan ibland vara av större vikt i säkerhetsarbetet än en minimal risk. En klok avvägning måste göras i varje fall.
Systematiskt informationssäkerhetsarbete
Säkerhetsarbetet bör bedrivas systematiskt efter förutbestämda steg. Första steget är att analysera nuläget. Med detta som grund utformar man ett informationssäkerhetssystem. Nästa steg är att genomföra och använda informationssäkerhetssystemet. Med jämna mellanrum följer man upp och utvärderar säkerhetssystemet och inför nödvändiga förbättringar och uppdateringar. Uppföljningar och uppdateringar är ständigt återkommande aktiviteter. Det systematiska säkerhetsarbetet blir aldrig färdigt. Myndigheten för samhällsskydd och beredskap (MSB) har utarbetat ett användbart metodstöd för systematiskt informationssäkerhetsarbete som kan laddas ned från deras webbsida.
Konkreta åtgärder
De åtgärder som kan vara aktuella i säkerhetsarbetet är till exempel skydd av it-system i form av brandväggar, antivirusprogram, regelbundna säkerhetskopieringar, uppdateringar till nya och säkrare versioner av programvara, krypteringsskydd och annat. Övrigt säkerhetsarbete kan vara säkerhetsutbildning av såväl personal som ledning. Organisationen kan också behöva skriftliga föreskrifter i form av en gemensam säkerhetspolicy.
Ledningens ansvar
Huvudansvaret för informationssäkerhetsarbetet ligger hos organisationens ledning. Risker i informationssäkerheten är lika stora hot som finansiella risker och personsäkerhetsrisker. Olaga intrång och sabotage mot informationen skadar också organisationens samarbetspartners, kunder och privatpersoner. Organisationens ledning måste därför stödja säkerhetsarbetet med nödvändiga och tillräckliga ekonomiska och organisatoriska resurser. Säkerhetsarbetet kan vara ett stort och komplicerat projekt som man med fördel kan ta hjälp utifrån för. Det kan ge ett effektivare säkerhetsarbete och spara både tid och pengar.
Har du behov av hjälp med IT- eller informationssäkerhet? Läs mer om våra tjänster!