Går det att leva på gamla meriter inom informationssäkerhet?

Emergency management and public safety

Informationssäkerhet har kommit att växa i betydelse för organisationer både inom offentlig och privat verksamhet. Medvetenheten om de konsekvenser som kan inträffa med bristande informationssäkerhetsskydd har ökat generellt. Tack vare bl a Finansinspektionens föreskrifter, införandet av dataskyddsförordningen (GDPR) och nu senast EU:s NIS-direktiv har informationssäkerhetsarbetet erhållit ännu större fokus än tidigare. Även kunder har börjat ställa krav på en ISO/IEC 27001-certifiering för fortsatta och nya affärer. En ytterligare drivande faktor är den enorma ökningen av IT-relaterade incidenter med dataintrång, ransomware och användningen av Internet of Things (IoT). Cybersäkerhet är ett område som kommer att växa i betydelse.

I denna kontext bör frågan ställas om det är möjligt att leva på gamla meriter inom informationssäkerhet. Det reflexmässiga svaret bör vara att det som gällde igår inte gäller idag, och det som gäller idag inte gäller i morgon – vilket är helt korrekt ut ett IT-tekniskt perspektiv. Med gamla meriter åsyftas snarare att våga blicka tillbaka till kärnan inom informationssäkerhet, nämligen ett systematiskt och långsiktigt arbete i syfte att skapa ett fundament för informationshantering och bevarandet av skyddsvärd information. Det är inte bara möjligt utan är också en absolut nödvändighet. Utan detta fundament finns risken att informationssäkerhetsarbetet vilar på snabba, fragmenterade åtgärder som tenderar att urholkas med tiden.

Nedan presenteras 10 viktiga åtgärder, i lämplig införandeordning, som fortfarande är aktuella och knyter an till kärnan inom informationssäkerhet. Observera att ingen av dessa står i kontrast till identifierade eller redan påbörjade åtgärder inom informationssäkerhet och cybersäkerhet i stort, oavsett ambitionsnivå. I stället ska de ses som ett komplement eller stöd i organisationens strävan att uppnå ett långsiktigt och hållbart arbete i syfte att skydda och bevara organisationens viktigaste tillgångar – nämligen dess informationstillgångar och de resurser som behövs för att hantera och skydda informationstillgångarna.

1. Börja från ruta ett

Innan ett systematiskt informationssäkerhetsarbete kan påbörjas måste organisationens interna och externa hotbilder kunna förstås, förklaras och omsättas i relevanta informations- och cybersäkerhetskrav. En initial, övergripande riskanalys kan ge värdefull information om hotbilder och sårbarheter. Det är också viktigt att förstå vilka förutsättningar organisationen ifråga har. En organisation som saknar ett strukturerat arbetssätt bör rimligen sätta lägre mål och inte eftersträva certifiering inom de närmsta åren. Däremot en mogen organisation som redan har ett välutvecklat och etablerat ledningssystem kan mycket väl sätta upp målet att bli ISO/IEC 27001-certifierad inom ett till två år.

2. Ta fram en informationssäkerhetspolicy

Beskriv ledningens viljeinriktning och det långsiktiga målet med organisationens informationssäkerhetsarbete i en informationssäkerhetspolicy. Även strategin för att nå målet bör framgå i policyn. Förutom syfte och mål bör den innehålla information om avgränsningar (vilka verksamheter omfattas av policyn), hur arbetet ska organiseras och bedrivas (vem är ansvarig för vad), medarbetarnas rättigheter och skyldigheter, vilka delar av arbetet som är prioriterade och övergripande införandeplan. Informationssäkerhetspolicyn ligger till grund för det fortsatta informationssäkerhetsarbetet. Policyn bör så småningom konkretiseras i informationssäkerhetsinstruktioner.

3. Gör en GAP-analys

En viktig startpunkt i organisationens informationssäkerhetsarbete är att genomlysa organisationens befintliga informationssäkerhet. Det är därför rekommenderat att genomföra en workshop där man genom en GAP-analys får en samlad bild över brister och förslag på åtgärder. Inför en ISO/IEC 27001-certifiering stämmer man av mot samtliga Annex A-kontroller. GAP-analysen fungerar som ett beslutsunderlag att presentera för ledningen, där brister och förslag på åtgärder kan presenteras och ledningen kan ta beslut om vilka aktiviteter man ska prioritera att gå vidare med. Det är också viktigt att göra en översyn över vilka styrande dokument som finns och eventuellt saknas.

4. Få med ledningen på tåget

Utan ledningens aktiva medverkan och förståelse för informationssäkerhetsarbetet kommer arbetet oundvikligen att misslyckas. Därför är det av största vikt att få med ledningen på tåget, dels genom att godkänna och fastställa informationssäkerhetspolicyn, dels genom att tillsätta de resurser som är nödvändiga för att bedriva arbetet utifrån beslutade aktiviteter. Det är viktigt att engagera även affärsverksamhetens ledning och inte enbart fokusera på ledningen för IT och informationssäkerhet. Ledningen bör också ställa sig frågan vilka investeringar som är nödvändiga för att uppnå en adekvat nivå på informationssäkerhet. Budgetera därför för införandet av informationssäkerhetsåtgärder redan i ett tidigt skede.

5. Analysera de största informationssäkerhetsriskerna

Den utan tvekan viktigaste och mest grundläggande aktiviteten inom informationssäkerhetsarbetet är riskanalysen. Syftet är att erhålla en övergripande och vittomspännande bild över de hot och sårbarheter som organisationen och dess informationstillgångar står inför. Det är av stor vikt att välja en riskanalysmetod som är anpassad efter organisationens behov i kombination med en kriteriemodell för sannolikhet och konsekvens som avspeglar organisationens riskaptit. Ha respekt för komplexiteten inför denna typ av riskanalys. Det är inte ovanligt att det tar flera månader att genomföra en riskanalys i en större organisation.

6. Identifiera och klassa informationstillgå

I anslutning till riskanalysen bör organisationens samtliga informationstillgångar – organisationens viktigaste tillgångar – identifieras och klassas utifrån interna och externa krav på konfidentialitet, riktighet och tillgänglighet. Målet med informationsklassning är att förstå hur skyddsvärda informationstillgångarna är för att därigenom kunna vidta nödvändiga säkerhetsåtgärder i syfte att erhålla tillräckligt skydd. Ledorden i detta sammanhang är rätt skyddsnivå till rätt kostnad – varken mer eller mindre. Det är därför viktigt att hitta rätt modell för informationsklassning som avspeglar organisationens krav på informationssäkerhet i kombination med rätt säkerhetsåtgärder. Resurser som behövs för att hantera och skydda informationstillgångar, exempelvis IT-system, nätverk och fysiska tillgångar, ska möta de krav och säkerhetsåtgärder som klassningen medför.

7. Se över kris- och kontinuitetsförmågan

Förmågan att kunna hantera tillfälliga avbrott och långvariga kriser i verksamheten är en utomordentligt bra försäkring mot allvarliga och kostsamma konsekvenser för verksamheten som i värsta fall kan leda till irreparabla skador på varumärket. I en tid där verksamhetens IT-beroende blir alltmer påtagligt i kombination med den enorma ökningen av IT-relaterade hot bör förmågan att förebygga, upptäcka och hantera avbrott i kärnverksamheten ligga högt på agendan inom informationssäkerhetsarbetet. Särskilt viktigt är IT-organisationens förmåga att kunna hantera allvarliga incidenter och återställa kritiska system vid en större störning. Se därför över nuvarande kris- och kontinuitetshantering genom att identifiera vilka delar av verksamheten som är mest kritisk, hitta de största riskerna och sårbarheterna, utveckla kris- och kontinuitetsplaner och börja öva och testa. Den gamla devisen att övning ger färdighet gäller i allra högst grad i detta sammanhang.

8. Skapa långsiktig förändring i organisationen

För att kunna åstadkomma ett långsiktigt och bestående informationssäkerhetsarbete över tid krävs en kulturförändring som genomsyrar hela organisationen. I en omogen organisation kan denna kulturförändring upplevas som smärtsam för alla inblandade parter, interna såväl som externa. I grund och botten handlar det om att skapa en säkerhetskultur inom hela organisationen där slutmålet kan likställas med att upprätthållandet av informationssäkerheten är en del av organisationens DNA. Detta kan uppnås genom en rad av olika åtgärder, varav återkommande utbildningsinsatser, övningar och andra insatser för ökad medvetenhet är några av de viktigaste. Viktigt är även att medvetandegöra medarbetarnas rättigheter och skyldigheter inom informationssäkerhet.

9. Börja mäta efterlevnad

Ännu en viktig åtgärd för att åstadkomma en bestående förändring över tid är att börja mäta efterlevnad av uppsatta informationssäkerhetsmål. Även om den tidigare GAP-analysen har påvisat brister finns det många goda skäl att börja mäta måluppfyllnad och följa upp brister i ett tidigt skede. Definiera lämpliga mätvärden, gärna med hjälp av KPI:er, som påvisar organisationens framsteg – börja i liten skala och öka ambitionen över tid. Inför en ISO/IEC 27001-certifiering är det viktigt att börja mäta måluppfyllnad gentemot Annex A-kontrollerna i syfte att mäta effektiviteten och implementering av kontrollerna. Andra viktiga åtgärder att beakta är återkommande granskningar, utvärderingar, revisioner av det systematiska informationssäkerhetsarbetet och inte minst ledningens genomgång för att säkerställa arbetets fortsatta lämplighet, tillräcklighet och verkan.

10. Sist men inte minst

Även om informationssäkerhet ibland kan upplevas som något diffust och ogreppbart finns det några enkla och smarta knep att ta till. Ett av de viktigaste är att påbörja arbetet i liten skala genom att anpassa de kortsiktiga informationssäkerhetsmålen efter organisationens förmåga. Definiera mer ambitiösa mål som långsiktiga. Se även informationssäkerhetsarbetet som ett iterativt och lärande arbete där organisationen blir lite bättre för varje år som går. För fram budskapet att informationssäkerhet är både roligt och utvecklande för individen och organisationen som helhet.

Håkan Jidmar arbetar som principalkonsult på 4C Strategies AB och har över 15 års erfarenhet inom management- och IT-konsultverksamhet, varav de senaste åtta åren har inkluderat olika ledande roller i implementeringen av alla delar i ledningssystem enligt ISO 27001 (administrativ, organisatorisk och teknisk) på både strategisk och operativ nivå.

Håkan är en av företagets främsta experter inom informationssäkerhet och ISO 27001. Några av Håkans främsta expertområden är Business Continuity Management (BCM), IT Service Continuity Management, riskhantering (strategiska och informationssäkerhetsrisker), informationsklassning, incident- och krishantering, utbildning och övning inom informationssäkerhet i stort och kris- och kontinuitetshantering specifikt, revisionshantering och compliance gentemot ISO 27001, m.fl.

Håkan har även arbetat med ett flertal standarder, ramverk och förordningar som angränsar till ISO 27001 och informationssäkerhet, bl.a. ISO 22301, ISO 27031, FSPOS, NIS, FFFS:2014:4, FFFS:2014:5 och ITIL genom konsultuppdrag hos ett flertal aktörer. I dessa projekt har Håkan genomfört informationssäkerhetsarbete inom såväl offentlig som privat verksamhet.

 

Message sent

Thank you
Your message has been received. We will get back to you as soon as possible.

Thank you!

You are now registered.

Download pack

Photo credits

License

Choose size
  • Original image
  • Large image (2900px)
  • Medium image (1920px)
  • Small image (1024px)
DOWNLOAD

Get in touch

Book a demo

    Get in touch

      Message sent

      Thank you
      Your message has been received. We will get back to you as soon as possible.

      Message sent

      Thank you
      Your message has been received. We will get back to you as soon as possible.

      Message sent

      Thank you
      Your message has been received. We will get back to you as soon as possible.