Varje framstående organisation har tillgång till värdefull information, sin egen eller någon annans…
Redan i början av 80-talet pekade den amerikanske framtidsforskaren Alvin Toffler ut att vårt samhälle skulle sköljas över av en informationsvåg och lämna de tidigare utvecklingsstegen i mänskligheten (jordbrukssamhället och industrialiseringen) bakom sig. Idag är det ingen hemlighet att information näst människor och anseende/rykte utgör de viktigaste tillgångarna i en framgångsrik verksamhet. Att jobba med personal- och kompetensutveckling samt PR och varumärkeshantering har varit en profession i många år, däremot att förädla och skydda våra informationstillgångar är något som stundtals har hanterats på en kafferast i ledningens fikarum eller i bästa fall av en tillika befattning på en stabsfunktion långt från kärnverksamheteten.
Glädjande nog har ett allt större fokus på effektiv och säker e-förvaltning ökat intresset för detta område på såväl ledningsnivå som för berörda specialistfunktioner. Vad är då knepen för att hitta rätt nivå på sin informationssäkerhet och få detta arbete levande och integrerat med en föränderlig omvärld?
Viktigt att se sammanhanget i stället för bara hot, tråkigheter och stora kostnader
Din säkerhetschef/samordnare/ansvarig kallar till en workshop där ni får skriva ner alla tänkbara och otänkbara hot mot verksamheteten och era IT-system på gula post-itlappar. Sedan bedömer ni merparten som sannolika och med stor påverkan på verksamheteten. Workshopen landar i tjugotalet säkerhetsåtgärder i olika form och storlek som måste genomföras redan detta år utan hänsyn till verksamhetsplan eller fastställd budget. Känner du igen dig? Slappna av, du är inte ensam om att känna dig som gisslan i din egen verksamhet.
Ett vanligt misstag är just att börja att prata hot och redan direkt risk med påföljande säkerhetsåtgärder. Börja i stället att sätta verksamheten i sitt sammanhang genom att identifiera era 2-4 viktigaste tillgångar (kan vara allt från en databas inom socialtjänsten till en publik e-tjänst för medborgarservice). Hittar du inga tillgångar så kan du avbryta analysen.
Utmana gärna det traditionella synsättet att en tillgång ska gå att ta på och pröva på att identifiera era intellektuella tillgångar. En intellektuell tillgång kan självklart vara strukturerad och sitta sammansatt i ett arbetssätt, design eller programkod – men ofta sitter den i huvudet på dina kollegor eller i de relationer som ni har inom organisationen eller med era viktigaste externa intressenter.
Merparten av hoten finns inom din egen organisation
Om du har identifierat viktiga tillgångar, så kan du ibland hitta ett antal hot som kan utgöra en fara för dessa. Har dina tillgångar inga hot så kan du avbryta analysen. Merparten av alla hot är oavsiktliga och finns inom din egen organisation (slarv, okunnighet, stress, otydlighet etcetera) vilket är bra ha i bakhuvudet när externa avsiktliga intrångsförsök eller anlagda bränder kommer på tal.
Om ni hittar relevanta hot, då har ni säkerligen redan ett antal säkerhetsåtgärder på plats. Några av dessa är effektiva och ändamålsenliga för att skydda just dessa tillgångar mot dessa hot, andra inte lika bra… Om du bara har effektiva skyddsåtgärder så kan du avbryta analysen, om inte så har du identifierat en eller flera brister eller svagheter (ibland även kallat för sårbarheter).
Det är alltså först i detta läge som en riskanalys behöver genomföras och relevanta säkerhetsåtgärder föreslås. Väldigt enkelt, inga tillgångar ger inga hot. Inga hot, inga sårbarheter. Inga sårbarheteter, ingen risk. Ingen risk, inga behov av nya eller kompletterade säkerhetsåtgärder. Det finns alltså mycket tid och massor av resurser att spara genom att se detta sammanhang och inte luras in i den vanliga fällan med att ett hot alltid ger en risk som ska åtgärdas.
Med systematik och initiativkraft så uppnås rätt säkerhet i en föränderlig värld
Att göra en riskanalys, utse en informationssäkerhetsansvarig och avsätta en budgetpost räcker tyvärr inte långt i en föränderlig värld. Informationssäkerhetsarbetet måste ständigt förbättras för att hitta rätt säkerhetsnivå, inte för låg så verksamheten exponeras eller för hög så ett effektivt informationsutbyte hindrar kritiska flöden.
Vad är då rätt nivå? Sanningen ligger oftast i de indikatorer som ledningen får från incidenter, etablerade mätetal i verksamheteten, iakttagelser från interna och externa revisioner, önskemål eller klagomål från viktiga intressenter och självklart förbättringsförslag från verksamheten inom området. När ledningen har pekat ut rätt säkerhetsnivå och sin vilja med informationssäkerhetsarbetet har startskottet gått. Det svåra är inte att ta initiativet inom detta område, det är att behålla det! När information ses och behandlas som en viktig tillgång, sammanhanget är tydligt och en systematik är på plats för att ständig förbättra sitt informationssäkerhetsarbete – då kan du som verksamhetsansvarig åter njuta av en god nattsömn.
Lycka till med säkerheten och glöm inte att behålla initiativet!