364
UTFORSKA vad vi kan och gör
UTFORSKA vad vi kan och gör

Stäng

Kompetensområden

Kontakta mig

Vill du veta mer och ta reda på hur vi kan hjälpa just dig? Lämna dina kontaktuppgifter

Valdation:
* Förnamn:
* Efternamn:
Företag:
Tel:
* Email:
Land:
* Meddelande:
Successfully sent!
Could not send the mail, try again later!
KAFFE ELLER TÉ? Vi kan väl ses över en kopp.
Figur

Blogg mars 16, 2016

En säker resa till molnet kräver ett strukturerat Informationssäkerhetsarbete av alla

I förberedelserna för detta blogginlägg läste jag mina tidigare (länkar finns i slutet). Det gladde mig att de pekar i samma riktning och att jag driver tesen att ett strukturerat arbete med informationssäkerheten är en framgångsfaktor för en lyckad resa till molnet.

”Ordning och reda är framgångsreceptet"

Informationssäkerhetsarbete måste i denna molnresande tid bedrivas strukturerat. Och gammal hederlig ordning och reda skall råda i arbetsprocesserna. I princip är det ingen skillnad mellan den lilla firman på hörnet som levererar lokalt eller det stora multinationella företaget som verkar i flera länder och världsdelar på en global marknad. Kravet att hantera informationen på ett ansvarsfullt sätt finns hos alla. Hur arbetet organiseras skiljer dock. Hur tar mig sig då till denna underbara strukturerade värld och hur upprätthålls den?

”Du måste helt enkelt bestämma dig för att arbeta strukturerat med Informationssäkerhet”

Det handlar sällan om att gå från ett läge där det inte finns några skyddsmekanismer på plats alls till ett strukturerat arbetssätt. De flesta företag har redan flera olika mekanismer för att skydda informationen som virusskydd, spamskydd, informationspolicy, lösenordskyddade skärm-släckare, lås på dörrar och fönster, larm, bemannade receptioner etc. Vad som triggar ett beslut att vilja börja arbeta mer strukturerat är olika. Oavsett skäl och implementerade säkerhetsmekanismer handlar det om att bestämma sig att börja.

”Ett Ledningssystem för Informationssäkerhet (LIS) är centralt”

När beslutet att börja är fattat och arbetsmetodik skall väljas rekommenderar jag att du sneglar på den globala Informationssäkerhetsstandarden ISO 27001. Den föreskriver bland annat att det skall finnas ett Ledningssystem för Informationssäkerhet (LIS).

Figur

 

Bilden ovan visar en ledningssystemstruktur som beskriver de övergripande två viktiga delarna som behövs i en organisations informationssäkerhetsarbete.

Det centrala ansvaret som bland annat definierar och bestämmer vad som skall skyddas utifrån en affärskravsanalys och vilka krav de olika delarna i organisationerna skall följa.

Det distribuerade ansvaret ute i verksamheten som bland annat skall värdera vilken information som är skyddsvärd inom deras specifika område. Genomföra riskanalyser, utveckla och implementerar skyddsmekanismerna och rapportera tillbaks status.

När resan mot ett strukturerat arbetssätt startar handlar det ofta om att skapa de mekanismers som krävs för att få till det centrala ansvaret.

”Dokumenterat och upprepat stöd från högsta ledningen är nödvändigt”

När vägen mot ett strukturerat arbetssätt påbörjas gäller det att få med högsta ledningen och styrelsen. Både jag och standarden rekommenderar att mandat säkras genom att en Informationssäkerhetspolicy tas fram där ledningens viljeinriktning och formella stöd för informations-säkerhets-arbetet skall framgå tydligt. I standarden finns punkter uppräknade vad som skall stå i policyn.

Förutom standardens punkter vill jag skicka med några saker som bör beaktas i författandet.

  • Policydokumentet skall vara max 5 sidor, men helst färre
  • Policydokumentet skall kunna läsas och förstås av alla i organisationen. Låt gärna marknads- eller informationsavdelningen påverka språk, ton och struktur
  • Policydokumentet skall förklara varför arbetet är viktigt för organisationens affärer, kunder eller medlemmar och hur viktigt det är att var en bidrar med sin del i arbetet
  • Policydokumentet skall inte skrivas och ägas av IT-avdelningen.

”Risk- och sårbarhetsanalysen är hjärtat som håller hjulet snurrande”

För att få liv i informationssäkerhetsarbete behövs något som pumpar i centrum. I ett LIS är det risk- och sårbarhetsanalysen (3. Analyze) som är detta hjärta. Det är i denna process som de centralt definierade kraven översätts till säkerhetskontroller som implementeras i verksamheten. Nedan visas de steg som ingår i ett risk- och sårbarhetsanalysarbete.

Figur

Oavsett storlek på organisationen behövs en gemensam struktur och metodik för risk-och sårhetsanalysarbetet för att kunna följa upp risknivån på olika nivåer i organisationen.

”Att mäta är en förutsättning för förbättring”

Om det är risk-och sårbarhetsanalysen som är hjärtat i ledningssystemet, är det övervakning och mätning av kontroller och processerna (5. Monitor) som tillför nytt syre. Genom noggrann mätning på flera olika nivåer av informationssäkerhetsarbete fås underlag till förändrings- och förbättringsförslag. Mätning och förändring är nödvändigt för att hålla säkerheten på rätt nivå.

”Hur skall jag börja min resa mot ett mer strukturerat arbetssätt?”

Det beror lite på var du befinner dig idag. Några ingångar kan vara:

Har du bestämt dig att börja resan mot ett strukturerat arbetssätt är rådet att säkra stöd och mandat hos högsta ledningen. Ta fram en informationssäkerhetspolicy.

Har du redan ett LIS, en informationssäkerhetspolicy och/eller en Risk-och sårbarhetsanalysmetod på plats rekommenderar jag dig att genomföra en informationssäkerhetsmätning och att benchmark dig mot liknade bolag för att ta temperaturen på säkerhetsarbete.

Är du genuint osäker om vad som skall göras rekommenderar jag dig att ta kontakt med en informationssäkerhetsrådgivare och organisera en workshop med din VD, affärsägare, jurist, säkerhetschef, IT-chef och marknadschef för att identifiera värdet för just er att arbeta strukturerat med informationssäkerhet.

Avslutningsvis ett tips om bra svenska källor för stöd och inspiration i arbetet med att skriva en Informationssäkerhetspolicy - Googla ”Informationssäkerhetspolicy”. Speciellt många offentliga aktörer i Sverige har sina policyers tillgängliga på nätet.

Har du funderingar kring ämnet hör av dig. Vi deltar gärna i samtal om hur din organisation inte bara skall överleva utan även bli en av vinnarna i vår nya sköna digitaliserad värld.

Kennet Wahlberg,
Rådgivare inom affärskontinuitet, informationssäkerhet och säkerhetsmedvetenhet, Enfo Zipper.

Tidigare blogginlägg:

Digitaliseringen – Ett lyft för informationssäkerhetsmedvetenhet
Informationsklassning – En förutsättning för en bra molnstrategi