364
UTFORSKA vad vi kan och gör
UTFORSKA vad vi kan och gör

Stäng

Kompetensområden

Kontakta mig

Vill du veta mer och ta reda på hur vi kan hjälpa just dig? Lämna dina kontaktuppgifter

Valdation:
* Förnamn:
* Efternamn:
Företag:
Tel:
* Email:
Land:
* Meddelande:
Successfully sent!
Could not send the mail, try again later!
KAFFE ELLER TÉ? Vi kan väl ses över en kopp.

Blogg maj 31, 2016

Ligger din affärsplan på 4shared.com?

Ni som läst mina tidigare blogginlägg vet att jag tycker att risk- och sårbarhetsanalysen är hjärtat i ett ledningssystem för informationssäkerhet och att mätning av kontroller och processer är det som tillför nytt syre till arbetet att anpassa säkerhetsnivån. Förmåga att kontinuerligt anpassa säkerhetsnivå till affärsmålen är nödvändigt för att säkerhetsarbete skall uppfattas som affärsmässigt relevant. Men vad skall då mätas för att nå detta mål?


”Börja med att skapa din baseline …”


Börja med att bestämma måttstocken som mätningarna skall bedömas mot – en baseline. En baseline kan enklast beskrivas som den uppsättning regler som skall gälla inom en verksamhet för att definiera en affärsmässigt nödvändig säkerhetsnivå. Det kan vara egna regler men vanligast är det hela eller delar av standards som exempelvis ISO 27001, NIST eller Cobit 5, tillsammans med eventuella branschspecifika regler. Det blir en blandning av tekniska, kunskapsmässiga och administrativa krav och regler som beskriver vad som är den rätta och affärsmässigt motiverade säkerhetsnivån i organisationen och som medarbetare förväntas följa.

”… och mät sedan din efterlevnad av den”


Sedan är det dags att mäta efterlevnad – compliance – mot baseline. I många organisationer innebär det att titta på varje enskild regel och svara på en ja- eller nej-fråga för att se om regeln är uppfylld eller inte. Finns det nej-svar existerar ett gap mot baseline och en åtgärdsplan tas fram och projektledare utses för att leda arbete med att hantera gapet och upprätthålla säkerhetsnivån.

”Utmaningen är att hålla baseline aktuell”


En bra vana är att få till ett arbetssätt där mätning av compliance mot baseline sker årligen. Men är det tillräcklig? Tänk om baseline är felaktig eller inaktuell? Om baseline inte uppdateras kontinuerligt är risken stor att säkerhetsnivån i organisationen blir allt mer fel ju fler årliga mätningar som görs. Det räcker därför inte att bara mäta mot baseline utan den måste kontinuerligt justeras och underhållas för att vara relevant att mäta mot.

”En felaktig baseline kan leda till felinvesteringar”


Faktum är att en mätning mot en felaktig baseline kan vara skadligt för organisationen. Om inte baseline bygger på aktuella hot-, risk- och sårbarhetsanalyser kan organisationen hålla på att driva igenom en felaktig säkerhetsnivå som riskerar att leda till både felinvesteringar och alienera medarbetare.

”Nu kanske du vill veta om din affärsplan ligger på 4shared.com”


Företag som arbetar strukturerat med informationssäkerhet har den senaste tiden infört regler i baseline för hur organisationens data får lagras i molnet. Ibland finns det uttryckliga regler som inte tillåter medarbetare att lagra företagets data i personliga konton hos tjänster som Dropbox, Google Drive, Box, 4Shared eller OneDrive. Sedan väljer många att inte spärra tillgången till tjänsterna i sig eftersom de har ett stort värde för medarbetarna i deras vardag. Efterföljandet av regeln bygger därmed på att varje medarbetar tar sitt ansvar och inte lagrar data där, även om det skulle underlätta hens arbete.

”Det vet du inte utan att övervaka och mäta mot din baseline”

Hur kan du då vara säker på att din affärsplan inte har hamnat på 4shared.com utan att försämra medarbetarna vardag. -Det kan du inte vara säker på utan att mäta trafiken till molnappar. Genom mätning samlar du in fakta som kan ligga till grund för ett strukturerat förändringsarbete i organisationen. På detta sätt minskar sannolikheten att din affärsplanen hamnar på 4shared.com utan att du behöver stänga ute användarna från tjänster som kan vara viktiga för dem i deras vardag.

”Idag finns inga godtagbara skäl att ha en gammal baseline!”

Den tid är förbi då första frågan en konsult behövde fråga inför ett informationssäkerhetsprojekt var: Är organisationen IT-beroende? Idag är det tvärt om. Därmed blir det en självklarhet att:

•    bestämma sig för vilken säkerhetsnivå som är affärsmässigt lämpad för organisationen, och
•    ta fram en baseline som motsvarar den säkerhetsnivån, och
•    sprid kunskap och medvetenhet i organisationen om baseline, och
•    mäta kontinuerligt mot baseline, och
•    anpassa säkerheten kontinuerligt till nivåer som motsvarar affärsbehoven.

Har du funderingar kring ämnet eller hur du tar reda på vilka molnappar som används i ditt företag hör av dig. Vi deltar gärna i samtal om hur din organisation inte bara skall överleva utan även bli en av vinnarna i vår nya sköna digitaliserad värld.

Kennet Wahlberg, Rådgivare inom affärskontinuitet, informationssäkerhet och säkerhetsmedvetenhet, Enfo.

Tidigare blogginlägg om Informationssäkerhetsarbetet:

En säker resa till molnet kräver ett strukturerat informationssäkerhetsarbete av alla