2021-10-11

Informationssäkerhet - Äta morot med jorden på

Äta morot med jorden på, så kan det ibland upplevas när man talar informationssäkerhet! Vet företag och organisationer vad information är, och hur de ska skydda den? Jag hör ofta att informationssäkerhet är en IT-fråga...

Josefin Hylander Informationssäkerhetskonsult

Tekniska lösningar är inte enda lösningen

Jag förmodar att de flesta företag/organisationer/arbetsgivare emellanåt tycker att det är mycket viktigt att skydda sin information, detta görs med tekniska lösningar och produkter. Det finns brandväggar, virusskydd, krypteringar m.m. och oftast är det IT som har koll på detta och har kompetensen för att skydda och övervaka systemen.

Men hur gör vi med all information som skapas? Informationen som kommer in till medarbetaren bearbetas och kommuniceras vidare men vem ansvarar för detta? Det är ju inte en IT-fråga att skydda informationen.

Överallt kan vi snabbt komma åt och kommunicera information. På arbetsplatsen och utanför är vi uppkopplade och tillgängliga, vi kan arbeta fritt från olika platser över hela landet och världen, för vi kommer åt vår information överallt. Det har underlättat för massor av arbetsgivare och medarbetare, speciellt under pandemin.

Hur kan du skydda informationen?

Men hur ser det ut med informationssäkerhetsarbetet? Vilken information ska skyddas och varför? Har du kontroll över er information och dess livscykel? Vad innebär det för ditt företag, organisation eller bolag om obehöriga skulle komma över känslig information?

Oavsett hur mycket tekniska säkerhetslösningar IT har installerat för att skydda platserna där digital information förvaras, så innebär den mänskliga faktorn alltid en stor risk eller den största risken skulle jag vilja påstå. För med stress och oaktsamhet kan information hamna fel eller lösenord exponeras. Hur kan du då minimera riskerna och höja medvetandet kring detta?

Några av mina viktigaste punkter för att höja medvetandet för informationssäkerhet

Inventerad information som är klassificerad - Det innebär att man har inventerat all sin information och dokumenterat hur livscykeln för informationen ser ut. Hur kommer informationen in, hur bearbetas den, hur kommuniceras den och hur lagras den?

Klassificerad information - Efter inventeringen ska man klassificera informationen, t.ex i termer av konfidentialitet, tillgänglighet, riktighet och spårbarhet. I detta steg klarnar ofta bilden av vad som är skyddsvärd information. Här kan det bli tydligt vad som saknas för att skydda information innan man kommuniceras den.

Risk- och sårbarhetsanalys allt som identifieras som skyddsvärt måste skyddas. Genom att göra en risk- och sårbarhetsanalys kan man identifiera potentiella hot och sårbarheter för informationen och man kan komma fram till vilka hanteringsregler och utbildningsbehov som finns och vilka tekniska lösningar som kan behövas.

Tydliga riktlinjer och policys för klassificerad information, material och medier och även hur man kommunicerar information. Genom att ha tydliga policys och riktlinjer eller regler blir det lätt för handhavaren att hantera informationen. Det ska vara lätt att göra rätt.

Regelbunden säkerhetsutbildning och övningar för all personal för att höja medvetenheten. Om man är transparant och har informationssäkerhet som en stående punkt på mötesagendor kan man höja och bibehålla skärpan. Tala om säkerheten regelbundet och påminn om hur och varför saker och ting ska hanteras på ett visst sätt. Kanske måste man införa sekretssavtal vid onboarding för att se till att företagshemligheter ska förbli hemligheter.

Incidentrapportering - enkel incidentrapportering för att upptäcka trender och gap- underlag för att höja säkerheten, rapportera hellre för mycket än för lite. Genom att rapportera incidenter av olika slag kan en säkerhetsavdelning upptäcka trender och få underlag för att påvisa att det behövs utbildning. Kanske måste man påminna medarbetare om att man måste använda skärmsläckare när man lämnar sin plats, kanske måste man påminna om att man inte får glömma material i printern etc.

När man är väl insatt över vilken information man äger blir det enklare att skydda den, både med tekniska säkerhetslösningar och med hanteringsregler och utbildningar. 

Så, då har vi sköljt av jorden på moroten och slipper knaster mellan tänderna.

 

BIO

Josefin Hylander
Informationssäkerhetskonsult 

Roligast med Atea: Att få vara med på våra kunders resa i deras utveckling och kunskap gällande informationssäkerhet. 

Innan Atea: Anställd på säkerhetsavdelningen på Advenica AB

Utbildning: I botten är jag naturvetare med en fil kand i laboratorievetenskap, men också läst folkhälsovetenskap på masternivå, risk- och händelse analysledare, internrevisor med inriktning kvalité & miljö samt säkerhetsskyddsutbildning och signalskyddschefsutbildning från FMV.