Det är hög tid att informationssäkerheten tar plats på ledningsgruppens agenda.Det är bara att läsa tidningsrubrikerna en vanlig dag för att få känslan av att det inte står så väl till med informationssäkerheten i Sverige just nu. Vi har sett hur både myndigheter och högt uppsatta chefer i offentliga institutioner hanterat känslig information på olämpligt eller otillåtet sätt. Vi har sett attacker på kritiska IT-system som t.ex. förra årets överbelastningsattack som gjorde att de stora svenska nyhetssajterna låg nere i flera timmar. En undersökning av Myndigheten för Samhällsskydd och Beredskap 2015 visar att 7 av 10 av Sveriges kommuner saknar systematiskt informationssäkerhetsarbete.

 

En fråga för ledningen

 

Samtidigt flyttar allt fler delar av vårt samhälle ut på nätet. Både människor och maskiner blir allt mer uppkopplade och sammankopplade. Få företag och organisationer klarar den dagliga verksamheten utan IT-stöd någon längre period. Dessutom lagrar och använder de allra flesta enorma mängder information. I takt med utvecklingen slutar informationssäkerheten att vara ett bekymmer för specialister - det blir en fråga för företagsledningen. Slarvigt hanterad och skyddad information är en enorm risk för hela verksamheten.

En organisation som inte följer reglerna kan straffas med mycket kännbara böter.

Ett högaktuellt ämne är EU:s nya Dataskyddsförordning, GDPR (General Data Protection Act), en förordning som ska stärka enskilda medborgares rättigheter och ge dem mer kontroll över sina personuppgifter. I maj 2018 ersätts den svenska PUL (personuppgiftslagen) med denna nya förordning. För organisationer som hanterar personuppgifter – och vem gör inte det, får den nya förordningen långtgående konsekvenser för hur man ska hantera och skydda personuppgifter, exempelvis kundregister och register över medarbetare. En organisation som inte följer reglerna kan straffas med mycket kännbara böter. Ännu en anledning till att det är hög tid att börja prioritera informationssäkerheten.

 

Människan, inte maskinen

 

Som flera av de aktuella ”IT-skandalerna” tydligt visar är att det största hotet mot informationssäkerheten inte tekniken utan vi människor. Vi är slarviga, godtrogna eller rent av okunniga och det kan få mycket allvarliga följder. För oavsett hur vi säkrar våra IT-system har de ingen chans mot en person som utan att tänka sig för öppnar mejl med bifogade filer, läser hemliga dokument på tåget eller pratar högt om affärshemligheter i telefon på flygplatsen.

Så vad ska vi göra för bättre skydda känslig information?

Så vad ska vi göra för bättre skydda känslig information? Steg ett är att inse att information är en av verksamhetens värdefullaste tillgångar. Varje organisation måste avgöra hur beroende verksamheten är av denna information, vikten av att ha den tillgänglig när den behövs och att den alltid går att lita på.

Steg två är att ta hoten mot informationssäkerheten på allvar. Hoten finns nu och på riktigt och påverkar alla organisationer, stora som små. Alla organisationer behöver hitta ett sätt att identifiera och värdera de sårbarheter de utsätts för. Steg tre är att vidta åtgärder för att minska sårbarheter och risker som identifierats.

Det här kräver, precis som MSB rekommenderar Sveriges kommuner, att arbeta systematiskt med informationssäkerhet.  Det som behövs är ett samlat arbetssätt där enskilda punktinsatser sker tillsammans med samordnade åtgärder och ständiga förbättringar.

 

Certifierad informationssäkerhet

 

Certifierad - stämpelNär det gäller systematik är internationella standarder oslagbara. Standarden för informationssäkerhet, ISO 27001, ger företag och organisationer ett systematiskt angreppssätt för att hålla koll på information, risker och skyddsåtgärder. Den ger också en rad handfasta exempel och förslag på konkreta åtgärder baserade på best practices från ett stort antal företag.

En av de stora fördelarna med att arbeta utifrån en standard är att organisationen kan gå ett steg längre och certifiera sitt informationssäkerhetsarbete.

Hot mot informationssäkerheten är inte längre hot, de är problem.

Med en certifiering följer regelbundna revisioner som tar tempen på hur arbetet fungerar, pekar ut förbättringsområden och följer upp. Dessutom är certifieringen ett tydligt sätt att visa att organisationen följer regelverk och krav. Om vi inte vill ha fler hemliga uppgifter som flyter runt, eller hantera IT-relaterade avbrott i verksamheten är det hög tid att agera nu. Hoten mot informationssäkerheten är inte längre hot, de är ett problem.

Foto: Mostphotos