Skip to main content

Bild

Image

laptop
Blogg

CISO: Så strukturerar du ditt informationssäkerhetsarbete smartast!

Sektioner

Image

Hans Sjöberg Enfo

Text

Idag står egna medarbetare för cirka 30 procent av alla IT-incidenter - vilket gör arbetet med informationssäkerhet och rollen som CISO viktigare än någonsin. Hans Sjöberg, senior rådgivare på Enfo delar med sig av några grundläggande tankar om hur du strukturerar ditt arbete smartast. 

 

Rollen som CISO (Chief Information Security Officer) handlar om att leda och styra arbetet kring informationssäkerhet. Att både ha förmågan att övertyga ledning och styrelse att ta rätt beslut och samtidigt få med alla anställda på företaget. Ett uppdrag som är minst sagt utmanande.

”Om man som CISO ska lyckas med sitt uppdrag är det avgörande att ha en tydlig roll och ett uttalat mandat att ansvara, leda och utveckla informationssäkerhetsarbetet och äga styrdokumenten angående informationssäkerhet. En stor del av rollen handlar om att bygga en medvetenhet kring säkerhetsfrågor i hela organisationen. 

 

Utveckla och att utbilda ledare och medarbetare

Det gäller att ha en modell för hela arbetet när man pratar och presenterar arbetet för ledningen. Allt handlar om att bygga en medvetenhet kring vilka hot som finns och vad det skulle kosta om det skulle inträffa en incident.

”Det som man ska tänka på är att den mänskliga faktorn och okunskap är en stor del av hotbilden. Eftersom cirka 30 procent av alla IT-incidenter sker på grund av den mänskliga faktorn så är det avgörande att öka kunskapen och säkerhetstänket bland anställda och ledning.” säger Hans Sjöberg och fortsätter:

“Det gäller också att ha en modell när man pratar med styrelsen så att man bygger en medvetenhet kring vilka hot som finns mot organisationen och vad de skulle kosta om de inträffar en incident.”

Läs mer om cybersäkerhet här. 

 

Vilken är den största utmaningen för en CISO?

Det är en kombination av att få med hela ledningen och hela företaget. Att hitta ett sätt att definiera säkerhetsarbetet som gör att alla köper det. Att ledningen klart och tydligt förstår vad en incident kostar och att de anställda vet hur de ska hantera data och information på ett korrekt sätt. En CISO behöver lyssna in omgivning eftersom mycket av jobbet handlar om att förstå medarbetare och ledning och ta reda på vilka behov som organisationen har.

 

Tips för att strukturera ditt informationsarbete!

1. Gör en behovsanalys

Varje företag och organisation har olika behov, ditt jobb är att ta reda på exakt vilka behov som finns i ditt företag. Ofta finns det externa krav som ni måste leva upp till - i både privat och offentlig sektor. Det behöver inte bara vara offentliga organisationer som är hårt styrda av externa krav utan det kan också gälla privata aktörer inom till exempel finansiell sektor. Det är här du också tar reda på vilka hotbilder som finns mot företaget, vilken information som är känslig och som skulle kunna skada organisationen om den hamnar i fel händer.

2. Sätt upp regler för vad man får göra / externa krav

Utifrån de krav och hotbilder som finns ska CISO:n sedan sätta upp säkerhetsregler genom att författa policys och riktlinjer hur ledning och medarbetare ska förhålla sig till olika information på ett säkert sätt. Det är också du som är ansvarig för att klassificera informationen. Läs mer om informationsklassificering här. 

3. Skapa stöd till medarbetarna genom tydlig vägledning, instruktioner och utbildning

Genom att höja medvetandet inom organisationen så kan ni minska era IT-relaterade incidenter med upp till 30 procent. Det handlar om att sprida information om och utbilda organisationen i vilka regler som gäller. Här är det viktigt med extrem tydlighet så att det finns så lite risk som möjligt att missförstå policys och riktlinjer som ni har satt upp.

4. Gör ständiga uppföljningar på resultatet

För att bli bättre på något måste man ständigt följa upp resultatet. Här blir det helt avgörande hur bra du är på att arbeta systematiskt och hur bra utfallet blir enligt de standarder och best practices som finns. Testa, utvärdera och håll dig uppdaterad på det som händer i och utanför din organisation. Om något inte fungerar - gör om och gör rätt!

 

Hans Sjöberg är Senior Information Security Consultant på Enfo
hans.sjoberg@enfogroup.com
Linkedin 

Dela