Hjälp, våra säkerhets­kostnader skenar!

Vår säkerhetsexpert Tomas Djurling svarar på läsarnas frågor. Denna gång rör frågan vad man kan göra åt de ökande säkerhetskostnaderna hos en myndighet.

Fråga: Jag sitter i ledningsgruppen på en relativt stor myndighet och märker att våra säkerhetsrelaterade kostnader hela tiden ökar och kommer snart att komma upp på en nivå som kan bli svår att försvara. Kan man på något sätt få ner kostnaderna för säkerhetsarbetet på lite sikt, men ändå behålla en rimlig säkerhetsnivå för verksamheten?

Svar: Att arbeta kostnadseffektivt med säkerhet är för många företag och myndigheter en besparingsmöjlighet med mycket stor potential.

Det viktigaste för att uppnå stora besparingspotentialer är att ha riktig kompetens och inte bara en anställd med en titel. De flesta organisationer behöver hjälp med att få nödvändig kompetens på denna tjänst. Det krävs en kompetent säkerhetschef för att anställa en kompetent säkerhetschef. ”It takes one to know one”.

Onödiga säkerhetskostnader
De höga säkerhetskostnaderna beror ofta på att det är oklart vem som är säkerhetsansvarig. En annan vanlig orsak är att det är en person som har säkerhetsansvaret utöver en helt annan tjänst i myndigheten eller företaget. Ansvaret för säkerhetsarbetet ligger i många fall utspritt på flera personer i organisationen.

Att ha ansvaret utspritt på många personer utan riktig kompetens kostar stora summor. Dessutom resulterar detta i ett säkerhetsarbete som saknar struktur, samordning och riktning. Om denna typ av felaktigt säkerhetsarbete fortsätter en längre tid kommer det att bli mycket svårt och kostsamt att rätta till.

Hur upptäcker man att det inte fungerar
Det är ofta lätt att upptäcka organisationer som har ett felaktigt organiserat säkerhetsarbete utan riktig kompetens. Det tydligaste kännetecknet är att säkerhetsorganisationen har fullt upp med brandkårsutryckningar och ad-hoc. De ansvariga hinner aldrig med något annat och det blir hela tiden värre.

För att få ett kostnadseffektivt säkerhetsarbete måste man anställa eller hyra in rätt kompetens. Att hyra in en kompetent säkerhetschef är i de flesta fall en mycket god investering. Ledningen i myndigheten får underlag och bestämmer hur man ska jobba vidare. Den inhyrda säkerhetschefen utför arbetet effektivt, målinriktat, strategiskt och företaget betalar bara för den tid de använder denne person.

Teknikdrivet säkerhetsarbete
Många organisationer har idag ett teknikdrivet säkerhetsarbete som slukar stora resurser i form av personal och kapital. Det är dessa organisationer som låter IT-teknikerna driva säkerhetsarbetet. Resultatet blir att teknikerna lobbar för att få köpa dyr IT-utrustning som i många fall kan vara helt onödigt. Ett annat problem med det teknikdrivna säkerhetsarbetet är att det bara är teknik som ska lösa alla säkerhetsproblem. Många IT-tekniker ser inte behovet av en helhet för säkerhetsarbetet.

Är utbildning en lösning?
Att utbilda någon inom säkerhetsområdet går att göra men det finns en del utmaningar om man väljer att gå denna väg. Den första utmaningen är att hitta en utbildning som är värd namnet. Det finns idag ingen utbildning i Sverige som ger en färdig säkerhetschef som klarar av uppgiften efter avslutade studier. Det saknas ofta viktiga delar i utbildningarna. Dessutom går utbildningarna inte in tillräckligt på djupet. Erfarenheter från flera ställen i både offentlig sektor och näringslivet är viktigt och kan bara fås genom att arbeta inom säkerhetsområdet under en längre tid.

Bygga grunden
Innan man skriver de styrande dokumenten måste en författningsanalys vara genomförd. En författningsanalys är resultatet av ett arbete som syftar till att se vilka lagar, förordningar, interna bestämmelser samt ingångna avtal som finns och som ställer krav på någon form av skydd eller säkerhet i verksamheten. Analysarbetet fortsätter sedan för att ta fram, och ur ett säkerhetsperspektiv, tolka de faktiska säkerhetskraven som ställs i lagar och avtal.

Dessa krav omformas sedan till konkreta säkerhetsinställningar i datorer. Lagarna kan också ställa krav på speciella restriktioner för behörigheter i verksamhetens lokaler eller eventuella säkerhetsutbildningar för personalen. Författningsanalysen ligger som ett av flera underlag till säkerhetspolicyn och riktlinjerna som sedan ska tas fram.

Utan en författningsanalys vet myndigheten inte om man uppfyller lagar och andra krav i verksamheten. Man vet heller inte om datorerna är inställda och konfigurerade på ett sätt som gör att lagar och andra säkerhetskrav faktiskt är uppfyllda.  

För att uppnå en balanserad säkerhet på rätt nivå utifrån verksamhetens krav, behov och mål krävs ett helhetsgrepp inom säkerhet. Denna helhet måste minst bestå av fysisk säkerhet (egendomsskydd), personsäkerhet, IT-säkerhet (informationsskydd) och kontinuitetsskydd.
För att lyckas med att bygga en balanserad säkerhet utifrån de fyra områdena ovan måste välskrivna styrande dokument tas fram. Många inser inte värdet av välformulerade säkerhetspolicys och riktlinjer skrivna av personer med lång erfarenhet inom säkerhet. Välskrivna styrande dokument sparar mycket pengar och personella resurser inom säkerhetsarbetet och därmed för verksamheten.

Omförhandla avtal
Förutom att omförhandla avtal och minimera kostnader kopplade till säkerhet är det också viktigt att optimera säkerhetsinvesteringar efter organisationens behov. Inte alltför sällan rullar det bara på fastän myndigheten bygger ut eller på annat sätt förändras. Avtalstiderna med bland annat säkerhetsleverantörer bör hållas så korta som möjligt och omförhandlas kontinuerligt. Akta er för indexhöjningar och dolda avgifter.
Att ha rätt säkerhet är inte bara en bra investering utan också en förutsättning för en bra och långsiktig verksamhet.

Tomas Djurling
Djurling Säkerhetsinformation AB

Har du en fråga om säkerhet? Mejla till brev@hexanova.se.

Lita fakta om säkerhetsexperten.

Tomas Djurling har sin bakgrund från den Svenska underrättelsetjänsten och Försvarets radioanstalt, FRA. Tomas arbetade under drygt 17 år på FRA och i arbetsuppgifterna ingick att hjälpa myndigheter med säkerhetsarbetet.
– Jag vet vilka säkerhetsutmaningar som finns i myndighetsvärlden, säger Tomas.

Tomas började sin bana på FRA som systemprogrammerare på stordatorer och som projektledare. 1996 fick FRA ett regeringsuppdrag som innebar att myndigheten skulle bygga upp en tekniskt avancerad avdelning som skulle hjälpa till att skydda svenska myndigheter med samhällskritiska informationssystem. Uppgiften att bygga och driva den nya enheten gick till Tomas Djurling.

– I uppgiften ingick att testa säkerheten hos myndigheterna och ge förslag på förbättringar.

Syftet med enheten var att skydda svenska intressen mot gränsöverskridande organiserad brottslighet, hackers, aktivister, cyberterrorister, industrispionage och främmande makt.

Han startade, byggde upp och drev denna verksamhet i cirka 12 år. År 2006 slutade han på FRA och startade eget inom säkerhet.

– Jag har tidigt insett att man måste arbeta med säkerhet i ett brett perspektiv, säger Tomas. Man måste arbeta med IT-säkerhet, fysisk säkerhet och människor samtidigt för att få en balanserad säkerhet till rimliga kostnader.

Det läggs ut mer resurser på säkerhet än vad som behövs.
– Vi har upprepade gånger hjälpt våra kunder att sänka de säkerhetsrelaterade kostnaderna för verksamhete
n och samtidigt bibehållit eller ökat säkerhetsnivån, menar han.