2021-10-27

Vägen till rätt informationssäkerhet går via verksamhetsförståelse och enkelhet

Kanske är det nu någon som tycker det är att ha en lite för lättsam inställning till detta ämne?

Thomas Dahlbäck Informationssäkerhetskonsult

Jag vill passa på att både utmana och uppmana oss som arbetar med informationssäkerhet att komma ihåg att vår uppgift kanske inte i alla lägen är att säga nej till allting, och att det är okej om verksamheten faktiskt förstår oss 😊

Jag skriver dessa rader med glimten i ena ögat, medan jag kisar lite ansträngt med det andra.

BIO

Thomas Dahlbäck
Informationssäkerhetskonsult

Roligast med Atea: Samarbetet med kompetenta och kundfokuserade kollegor på våra kontor.

Innan Atea: Jobbat med informationssäkerhet sedan 1998 i både offentlig och privat verksamhet.

Efter att ha arbetat med informationssäkerhet i drygt 20 år, har jag stött på många kollegor i branschen som har uppfattat sin roll som att skydda den verksamhet man arbetar för genom att betrakta den som helt oförmögen att förstå och fatta egna beslut genom att bara säga nej till allting.

Jag kan till viss del förstå det förhållningssättet, men min uppfattning är att det inte alltid är vägen till rätt informationssäkerhet.

Jag ser i stället uppgiften som att verkligen förstå den verksamhet vi är satt att skydda och baserat på den förståelsen guida dem med hjälp av modeller och metoder till rätt säkerhet.

Vad är det då jag menar? Jo, det är tre huvudområden:

  1. Verksamhetens vision och mål
    Genom att investera tid i att verkligen förstå verksamhetens vision och mål (oavsett om det är formellt dokumenterat, eller outtalat) får vi en bild över i vilken riktning verksamheten vill gå och vilken riskaptit den har. När vi förstår detta har vi första delen till en säkerhets-karta där vi längst upp i högra hörnet kan skriva in vart vi ska och ta ut kompassriktningen.
  2. Verksamhetens självinsikt
    Beroende på vilken självinsikt en verksamhet har, kommer man att vara olika benägen att ta till sej resonemang kring säkerhetsfrågor. Nivån på självinsikt kommer att vara vägledande för i vilken ordning vi ska numrera de kontroller vi behöver rita ut på kartan.
  3. Vad är det som är viktigast att skydda?
    Genom att verkligen förstå vad som är viktigast att skydda hos verksamheten kan vi sedan förbinda våra kontroller med relevanta vägval. Kanske är den snabbaste vägen till verksamhetsnytta inte den kortaste? Det kanske kan vara värt att gå runt myrområdet i stället för att säga nej, vi kommer inte längre.

Nu har vi en karta där vi ser vart målet finns och vilka vägval vi ställs inför, samt vilka steg vi ska ta och i vilken ordning.

Viktigt är att vi under resan påminner oss om det är verksamheten som äger risken och vårt jobb är att hjälpa den förstå vilka risker de exponerar sig för genom att vara tydliga och pedagogiska.

Jag sticker ut hakan och påstår självsäkert att min erfarenhet är att det är bättre beskriva och förklara riskexponering och låta verksamheten fatta beslut om vilken risk man vill ta, i stället för att säga Nej, så kan vi inte göra.

Vad tycker du, är jag helt fel ute, eller håller du med. Kommentera gärna.