Start Inspiration Blogg Grunder för informationssäkerhet
Cybersäkerhet

Grunder för informationssäkerhet

Vår uppmaning är att ge informationssäkerhet mer uppmärksamhet

När vi sätter oss i en bil så är det första vi gör att ta på oss säkerhetsbältet. Varför gör vi det?

För att det är en säkerhetsåtgärd som kan innebära liv och död. Vi gör det ifall vi skulle krocka, inte för att vi räknar med att det kommer att inträffa.

Digital skärm med oläslig text

Under en tid har vi vant oss vid att hålla avstånd och minskat mängden spontana möten. Det har inte varit för att vi inte längre vill träffa utan för att under pandemin haft en vilja att skydda oss själva och medmänniskor samt att vi som en säkerhetsåtgärd anpassat oss till att följa aktuella regler och förordningar.

Men när det kommer till att skydda information agerar vi inte på samma sätt. Ofta fortsätter vi att jobba utan säkerhetstänk och hoppas på att förbli osedda av auktoriteter och slippa följa regler. Regler som trots allt är skapade för vårt eget bästa och för att minimera risker. Frågor vi alla bör ställa oss är därför:

  • Är inte våra informationstillgångar tillräckligt skyddsvärda?
  • Är inte privacy och compliance viktiga områden?
  • Är det inte vår information som hackers jagar och ransomware krypterar?

Vår uppmaning är att det är dags att se till att informationssäkerhet faktiskt får den uppmärksamhet som det förtjänar!

Varför agerar vi annorlunda när det handlar om just informationssäkerhet?

Vi förlitar oss allt för ofta på sunt förnuft. Något som är hur oförnuftigt som helst.

Datamängden ökar hela tiden och med den snabba digitaliseringen blir vår miljö alltmer komplex och det innebär även fler krav på oss. Samhället blir alltmer beroende av tekniska system och då måste dessa vara robusta och enkla att arbeta i. Människor, processer och rutiner måste finnas på plats.

Dagligen får vi höra nyheter cyberattacker, webbsidor som ligger nere, myndigheter som läcker information, med mera. Det ligger där framför våra ögon. Vi vet att något måste göras men vi vet ofta inte hur vi ska göra det.

Vi agerar inte trots ökande krav och risker för attacker, hur kommer det sig?

Väldigt många upplever informationssäkerhet som något abstrakt. För att hantera frågan och göra den mer konkret behöver vi föra in struktursystematik och titta närmare på behoven.

Så här kan du bli mer relevant, konkret och tydlig

Det som behövs för att bli krispigare är en effektiv styrningsmodell (LIS), att ha koll på verksamheten och ha ett system för informationssäkerhet. Ett bra första steg är att införa LIS. Alla har någon typ av styrningssystem. Det gäller att återanvända det bästa ur den befintliga styrmodellen och utveckla den till en fungerande LIS modell.

Vad är LIS?

Ledningssystem för informationssäkerhet (LIS) är ett stöd för hur informationssäkerhetsarbetet styrs i verksamheter. LIS består av policy, riktlinjer, instruktioner, anvisningar, rutiner, processer och tillhörande resurser som gör att organisationen kan uppnå sina mål för informationssäkerhet.

  • LIS är en systematik för att säkra informationen. Det är en försäkring.
  • Vi vet vad vi har, hur vi ska agera och hur vi återställer information om något skulle hända.

Varför ska vi frivilligt utsätta oss för detta abstrakta arbete?

Fördelarna med LIS är många:

  • Ekonomi. Organisationen får en god informationssäkerhet som är anpassad efter verksamhetens förutsättningar och behov. Verksamheten får en bra säkerhetsekonomi genom att säkerhetsincidenter kan undvikas via ett väl avpassat, ändamålsenligt och kostnadseffektivt skydd.
  • Efterlevnad. Verksamheten säkerställer att legala krav efterlevs och revisioner klaras bättre. Det kan gälla exempelvis skydd av personuppgifter i enlighet med GDPR.
  • Styrning. Ledningen får möjlighet att styra och följa upp informationssäkerheten så att man kan bevaka att skyddet är effektivt och ändamålsenligt.
  • Kommunikation. Verksamheten ansluter sig till ett vedertaget sätt att arbeta med informationssäkerhet och anammar en gemensam terminologi.
  • Förtroende. Genom säkerhet i informationshanteringen kan omvärlden och kundernas förtroende för organisationen bibehållas och öka. Du ger intressenter en trygghet. Du gör det för kunden.

Finns det en LIS-mall som passar alla?

Eftersom organisationer varierar i storlek, företagskultur, har olika krav på sig så är det svårt att ta fram en LIS-mall som passar alla. LIS kan utarbetas på många sätt och anpassas till många olika behov, nivåer och regulatoriska krav. Många gånger finns det listat vilka områden eller processer som ska finnas på plats, men inte hur man ska göra för att införa dessa.

Här kommer ramverk som ISO 27001 in i bilden och kan guida er och bli det vi utgår från. Det bästa är att vi faktiskt kan vara hur kreativa som helst.

Går det att få hjälp?

Ja, absolut!

Det finns standardiserade ramverk som kan hjälpa oss. Låt oss ta ISO 27000-serien som exempel, som har mer konkretiseringar i ISO 27004. Där finns konkreta aktiviteter och rena kontrollmål beskrivna. Därför vet vi hur vi ska göra.

Hur kommer vi snabbast igång?

Börja med att:

  • Definiera varför något ska göras. Få igång engagemang inom organisationen.
  • Bestäm omfattningen på det som ska göras
  • Dela ut ansvar för det som ska göras
  • Gör en nulägesanalys – var är vi?
  • Omvärldsbevakning – hur gör andra?

Och glöm inte att:

  • Ange er målbild med arbetet
  • Involvera verksamheten i arbetet och projektet
  • En kommunikationsplan måste finnas
  • Inventera och kartlägg arbetet

Vill du veta mer om LIS-implementering eller informationssäkerhetsarbete så tveka inte att höra av dig till oss på Telia Cygate.

Vi finns på 20 orter i Sverige

Telia Cygate har kontor och framförallt kompetenta och engagerade medarbetare på över 20 orter i hela Sverige. Vi vill finnas nära er, våra kunder, och förstå er verksamhet och era kunder.

Kontakta oss