Tillbaka till Information Management

Webinar: Informationssäkerhet - hur säkrar vi den?

Få insikt om din verksamhets aktuella informationssäkerhetsnivå. Ta del av vårt inspelade webinar där Ateas säkerhetsexpert Kristina Nilsson belyser hur du genom styrning av informationssäkerhet kan införa riskdrivna skyddsåtgärder, som möter kraven hos dig och dina intressenters krav, men även ger kontinuitet för din kritiska verksamhet. Webinaret avslutar med Q&A med våra säkerhetsexperter.

Expertpanel - Q&A

Jag har lärt mig att man klassar informationstillgångar. Är det då främst it-tillgångar man menar?

Jag brukar säga att informationsklassning är en klassning av information. Klassningen aggregeras i resurser som hanterar informationen. Då kan du behöva tänka på aggregering för den resursen när du klassar till exempel en it-resurs. Både informationen och it-resursen är informationstillgångar men klassningen skiljer sig åt.

Så egentligen behöver jag bara jobba med kontinuitetshantering? Det verkar ju täcka in allt?Kontinuitetshantering handlar om en organisations förmåga att kunna upprätthålla sina centrala processer även under svåra förhållanden. För att klara det behövs framförallt en god kännedom om vilka de viktigaste processerna är och vilka resurser som är nödvändiga för att upprätthålla dem. Informationshantering är en avgörande resurs för de flesta verksamhetsprocesser. Av den anledningen förutsätter en fungerande kontinuitetsplanering en beskriven koppling mellan verksamhets- processer och informationshantering.

Så summerat: Syftet med kontinuitet är fortsatt verksamhet vid otillgänglighet.

Det här känns stort och tungt. Hur gör jag om det  är ett väldigt litet företag?

Det behöver inte bli stort och tungt. Tricket är att arbeta strukturerat så att du inte missar viktiga frågor. Man behöver vara överens om hur man ser på organisationen, dess risker och vem som har ansvaret för vilka åtgärder. Diskutera igenom bilderna som Kristina visade på webinaret och vad respektive ruta betyder för er. Bestäm en plan och repetera dessa moment tills ni har gått igenom er risklista.

Ni pratar om att skydda information, ”informationssäkerhet” – men hur ska jag tänka för alla verksamheter och system där informationen inte är det viktigaste? Jag tänker på till exempel, styrsystem för vårt dricksvatten eller utrustning på sjukhusen?

Samma utmaningar men andra prioriteringar. Hemligheter är inte viktigast längre utan tillgänglighet och integritet/tillförlitlighet. Riskanalysen väger även människoliv och miljöhänsyn!

Samma arbetssätt: Förstå intressenter, omvärld, krav. Förstå risker, hot och sårbarheter. Ta hand om det värsta och övervaka hur det går. Andra standarder, andra kompetenser och annorlunda ledningssystem. Men i grunden samma! Du behöver policies, bra processer och ett strukturerat arbetsätt.

Hur kommer jag igång med att jobba kring informationssäkerhet?

Fundera kring vad ni har era guldkorn samt vad ni ställer för krav. Börja sedan att genomföra riskanalyser och GAP-analyser för att förstå de risker och sårbarheter som finns. Gör därefter en plan hur ni skall hantera dessa områden.

Vilken är den bästa utbildningsmetoden för klassning i till exempel Teams?

Öka medvetenhet om vilken skyddsvärd informationen har som hanteras på arbetsplatsen. Utifrån det kopplas sedan åtgärder, både administrativa och tekniska. Poängen är att du förstår varför de är implementerade.

 

Hur är det med standarden kring informationssäkerhet? Måste jag följa ISO 27000 in i minsta detalj?

Absolut inte, se standarden som en mall/inspirationskälla och plocka det som du tycker är mest värdefullt för din verksamhet. Det är många som har varit med och tagit fram dessa standarder så helt klart finns det väldigt mycket bra som du skall använda. Plocka in så mycket som du kan från de som redan har gjort jobbet.

 

Vilka tekniska hjälpmedel finns det för att hjälpa mig att skydda och övervaka de informationstillgångar som verksamheten har?

Idag finns många olika möjligheter att få hjälp av verktyg för att klassa och skydda dina informationstillgångar. Ett par vanliga exempel på tekniska lösningar är tex MIP och MCAS men de är bara exempel på verktyg. Det finns liknande verktyg från ett antal strategiska partners som Atea samarbetar med som passar olika kunders behov och miljöer. För att lyckas med ett strategiskt informationssäkerhetsarbete krävs verktyg som hjälper och stöttar de riktlinjer och policys organisationen har upprättat.

Vi försöker arbeta strategiskt med informationssäkerhet men hur kan vi skapa visibilitet och mätbarhet kring arbetet vi gör?

I många organisationer kan det vara så att det saknas nyckeltal (KPI:er) och målsättningar för att mäta och följa upp it- och informationssäkerhetsarbetet. Det är viktigt att nyckeltal är utformade så att det är möjligt att utvärdera hur verksamheten presterar i förhållande till faktiska mål. Målvärden skall alltid anpassas till organisationens formella regulatoriska krav samt it- och informationssäkerhets krav. I de fall som organisationen följer ramverk som ISO, PCI-DSS mf finns idag stöd att få via väl integrerade verktyg för sin uppföljning. Genom att arbeta med till exempel Microsoft Compliance och Secure Score. Det kan även vara värt att ta hjälp av specialistkompetens kring utformningen av KPI:er för informationssäkerhet och tillhörande uppföljningsprocesser.

Mats, du nämner att man lutar sig mot andra standarder för just it-säkerhet, några exempel?

När det gäller områden där modern teknik används för att styra processer och maskiner är det IEC 62443 som är i särklass populärast. Den hette tidigare ISA 99 och är besläktad med andra viktiga standarder kring principerna för hur man bygger automationssystem, till exempel ISA 95. De olika delarna i IEC 62443 adresserar hela livscykeln från analys av verksamhetsrisker, via design av system till processerna för att underhålla och driva säkerheten framåt. Det finns också delar riktade till tillverkare och integratörer av dessa system. NIST har också bra ramverk att luta sig mot i säkerhetsarbetet.

Vilka är framgångsfaktorerna för att få till en säkerhetskultur i verksamheten? Det är lätt att skapa dokument - svårare att få dem accepterade, förstådda och använda.

 

  1. Utbildningsinsatser - hitta "Guldäggen".
  2. Medvetenhet - med risk som möjliggörare.
  3. Ledningens engagemang - tydligt syfte och mål.
  4. Börja lite och inse att det kommer att tid.
  5. Öppenhet och tydligt mål - våga använda eventuella incidenter som tydliga exempel internt.
Tillbaka till Information Management
Atea.se upplevs bättre om du uppdaterar din webbläsare. Här hittar du en ny version av internet explorer