UTFORSKA vad vi kan och gör
UTFORSKA vad vi kan och gör

Stäng

Tjänster

Kontakta oss

KAFFE ELLER TÉ? Vi kan väl ses över en kopp.

Blogg maj 03, 2016

Varför börjar man egentligen arbeta med informationssäkerhet?

Måste erkänna att jag tänkte denna tanke bara för några veckor sedan när jag en mycket sen kväll satt och browsade igenom tusentals automatgenererade sidor med säkerhetsanalysloggar. Det gick upp för mig att det som var självklart för mig när jag läst loggarna inte nödvändigtvis är det för kunden. Jag var tvungen att hitta en rättvisande vinkel som kunde hjälpa mig att fånga intresset och skapa medvetenheten hos kunden om utmaning. Då slog det mig att det är just detta som är skälet till att jag började jobba med säkerhet. Alltså inte glädjen att browsa tonvis av analysrapporter på nattkröken, utan just medvetenhetsfrågorna.

”Även till detta, är Gartner skyldig”

I seklets linda fick jag av en tillfällighet ett research dokument från Gartner, som heter ”An Information Security Self-Assessment”(ID-nummer: TU-03-9359, utgivet mars 1998 och skriven a William J. Malik), i min hand. Jag var ny IT-chef med ansvar för informationssäkerhet och försökte förstå vad det innebar. Orden Self-Assessment i rubriken lockade. Då gjorde det inget starkt intryck men har i efterhand visat sig vara ett viktigt skäl till mitt val att arbeta med informationssäkerhet.

”Self-Assessment test är lika relevant som för 20 år sen”

Dokumentet lanserar ett enkelt 3-frågorstest som ledningar i företag och organisationer rekommenderas begrunda innan investeringar i informationssäkerhetslösningar skall beslutas. 
Utgångspunkt är att tänka sig en typisk medarbetare. Gör sedan antagandet att denna person blir vittne till att en annan medarbetare gör något i organisationens IT-miljö som kanske skulle kunna vara ett brott mot en lag, en policy eller annat regelverk.

Diskutera sedan på dessa tre frågor:
1. Skulle personen kunna veta att det den andra medarbetaren gjort är fel?
2. Skulle personen välja att anmäla den andra medarbetaren?
3. Skulle personen veta hur det inträffade skall rapporteras?

Den första frågan är kopplad till säkerhetsmedvetenhet och vilka förutsättningar och verktyg organisationen har försett sina medarbetare med för att kunna bidra till ett informationssäkert beteende i sin vardag. Den andra frågan berör i allra högsta grad organisationskulturen och kan leda till intressanta och ibland uppslitande diskussioner. Den tredje frågan adresserar procedurer och arbetsprocesser i organisationen och det faktum att säkerhetsincidenter till skillnad mot normala incidenter i princip kräver en konfidentiell hantering.

”Maliks trippel berör kärnan i den beteendemässiga säkerheten”

Jag har kallat frågorna Maliks trippel i andra sammanhang. De ser harmlösa ut men diskussionen de ger upphov till är kärnan i den beteendemässiga säkerheten i organisationen. En allt viktigare del av organisationens säkerhetsmekanismer.

”Slutsatsen är daterad men underliggande analysen har aldrig varit viktigare – informationssäkerhetsmedvetenhet allt viktigare”

Tesen i dokumentet är att om organisationen kan besvara frågorna med tre ja är valet av säkerhetslösning mindre viktig. Medarbetarna kommer att kräva att lösningen fungerar. Om det saknas tre ja kommer medarbetarnas fokus vara att kringgå införda säkerhetskontroller.

Slutsatsen är daterad och kan ifrågasättas men den underliggande analysen är mer relevant idag än när dokumentet skrevs. Medarbetarnas beteende är centralt när ett heltäckande och effektivt skydd för organisationens information skall utvecklas. Att ha medarbetare med hög dokumenterad integritet i informationshantering och en intuitiv känsla för vad som är ett eftersträvansvärt beteende, blir en viktig konkurrensfördel i en värld där informationen mångt och mycket rör sig mellan molnet och medarbetarna.

”Informationssäkerhet kommer att bli allt viktigare som en ”Driver for Change” i progressiva organisationer”

Det var först några år efter jag läst det oansenliga 3-sidiga dokumentet som jag insåg att Mr. Malik egentligen skrev att informationssäkerhet är lika delar teknik, administration och ledarskap och att det är balansen i denna treenighet som är det väsentliga. En viktig insikt i mitt beslut att satsa på informationssäkerhetspåret. Vem kunde då ana att det även skulle bli en ”Driver for Change” i progressiva organisationer. Lucky me!

Har du funderingar kring ämnet hör av dig. Vi deltar gärna i samtal om hur din organisation inte bara skall överleva utan även bli en av vinnarna i vår nya sköna digitaliserad värld.

Kennet Wahlberg
Rådgivare inom affärskontinuitet, informationssäkerhet och säkerhetsmedvetenhet, Enfo.

Tidigare blogginlägg om Informationssäkerhetsmedvetenhet:
Digitaliseringen – Ett lyft för informationssäkerhetsmedvetenhet

RELATERADE KOMPETENSOMRÅDE