364
UTFORSKA vad vi kan och gör
UTFORSKA vad vi kan och gör

Stäng

Kompetensområden

Kontakta mig

Vill du veta mer och ta reda på hur vi kan hjälpa just dig? Lämna dina kontaktuppgifter

Valdation:
* Förnamn:
* Efternamn:
Företag:
Tel:
* Email:
Land:
* Meddelande:
Successfully sent!
Could not send the mail, try again later!
KAFFE ELLER TÉ? Vi kan väl ses över en kopp.

Blogg februari 03, 2016

Informationsklassning - en förutsättning för en bra molnstrategi

Varje diskussion om ”vägen till molnet” jag deltagit i de senaste åren har haft en komponent av ängslan.

Jag som informationssäkerhetskonsult brottas ofta med baksidan av molnmyntet. Framsidan handlar mest om möjligheter, nya affärer och fräcka affärsmodeller. Baksidan om oron för var mina data ligger, vilken information jag kan lägga ut i molnet, om jag kan vara säker på att min molnpartner hanterar mina data på ett ansvarsfullt sätt, hur jag får tillbaks data när vår relation avslutas och vad säger lagarna? Berättigade frågor men inte på något sätt hindrande. Mitt enkla svar är ofta - gör en informationsklassning.

”En informationsklassning kan och bör ses som en typ av riskanalys”

Självkslart så svarar en informationsklassning inte på alla oroliga frågor men den underlättar valet av molnstrategi och sätter ett pris på informationshanteringsriskerna. En informationsklassning kan och bör ses som en typ av riskanalys där det görs en bedömning av vilka konsekvenser som kan bli följden av att inte skyddet kan upprätthållas.

Utgångspunkten är att all information i en organisation inte har samma behov av skydd. Därför blir det centralt i informationsklassningsarbetet att bedöma informationens värde och känslighet. För att få systematik i informationsklassningen krävs en gemensam modell som omfattar samtliga aktiviteter från informationsidentifiering till att vidta skyddsåtgärder.

I bilden ovan finns en översiktlig modell för Informationsklassning (Källa: www.informationssakerhet.se

”En viktig del i informationsklassningsarbetet är att skapa en förteckning över informationstillgångar.”

Detta kallas ofta för informationskartläggning. En informationstillgång kan exempelvis vara databasen i ekonomisystemet, den publika webbplatsen, dokumenthanteringssystemet, löne- och personalsystemet eller löenlistor.

En informationskartläggning kan göras på flera sätt. Jag rekommenderar att kartlägga informationsflöden och identifiera system och tillgångar som informationen passerar och bearbetas i, och på det sättet bygga upp förteckningen över informationstillgångar. Metoden har fördelar eftersom den tar hänsyn till vilka externa aktörer och resurser som är involverade i informationshanteringen.

”Vilket informationsflöde som skall kartläggas är en viktig fråga”

Jag skulle börja med att kartlägga informationsflödet i min viktigaste affärsprocess. För de organisationer som inte har dokumenterade processer brukar det finnas en intuitiv känsla om vilka arbetsmoment som är viktigast för att organisationen skall lösa sin viktigaste uppgift. Exempelvis att leverera beställda varor i tid till rätt kund för att kunna fakturera – Från Order till Fakturering. Det viktigaste är att det finns ett väl definierat in- och utdata på den serie arbetsmoment som skall kartläggas. Genom att dokumentera de aktiviteter som görs, vilken information som används och vilka system som bearbetar data mellan Order och Fakturering, så byggs informationstillgångslistan upp.

”När informationstillgångarna är identifierade och nedtecknade är det viktigt att fastställa ansvarsförhållanden för informationen”

[För att få en god informationssäkerhet är det bra att utse roller som är ansvariga för de olika delarna av organisationens informationshantering, och då framförallt för informationen. Ansvarsförhållandena för informationen blir allt viktigare eftersom många organisationer idag väljer outsourcing eller olika typer av molntjänster. Vid informationsklassningen måste det därför också klarläggas vem som är informationsägare till olika informationsmängder och vilka krav denne ställer på både intern och extern hantering av informationen.

Informationsklassning innebär att klassa information, inte system eller tjänster. Klassningen ger sedan informationsägaren möjlighet att ställa krav på system- eller tjänsteägare. Modell för informationsklassning skiftar mellan olika organisationer men grundelementen är desamma, det finns exempelvis alltid ett samband mellan konsekvenser och skydd.

Lindriga konsekvenser när informationstillgången exponeras innebär ett grundare skydd. Allvarligare konsekvenser kräver högre skyddsnivå. Hur höga beror på konsekvensen. Om tillgången är lämpad för bearbetning i molnet blir i slutändan en riskbedömning.

”Sammanfattningsvis, ha detta i åtanke när molnstrategin skapas”

Betrakta Informationsklassning som en del av riskanalysarbetet

Identifiera informationstillgångarna i den viktigaste affärsprocessen. Görs lämpligast under en Workshop med informationssäkerhetsansvariga, jurist, IT-ansvarig, kvalitetsansvarig och personuppgiftsombud och under ledning av en moderator

Klassa tillgångarna och identifiera skyddsbehovsnivån för att bedöma riskerna med att bearbeta data i molnet

Utse informationsägare med samma självklarhet som systemägare för att driva informationshanteringskraven i det dagliga arbetet

Avslutningsvis ett tips om en bra svensk källa för stöd och inspiration i arbetet att utveckla ett strukturerat och systematiskt arbetssätt med informationssäkerhet - www.informationssakerhet.se.

Har du funderingar kring ämnet så hör av dig. Jag och mina kollegor deltar gärna i ett samtal om hur din organisation inte bara skall överleva utan bli en av vinnarna i vår nya sköna digitaliserad värld.

Kennet Wahlberg, Rådgivare inom affärskontinuitet, informationssäkerhet och säkerhetsmedvetenhet, Enfo Zipper.