2022-02-09

Koll på säkerhetsarbetet - möjligt eller en utopisk vision? 

När du verkligen känner efter, har du, eller ni, koll? Koll på alla delar av säkerhetsarbetet? Koll på ansvarsfrågan? Koll på incidentrutiner? Om svaret är ja på dessa frågor behöver du inte läsa längre. Om svaret däremot är nej, eller tvekande, då bör du läsa det här.

Samuel Taub Informationssäkerhetskonsult

Att vara helt trygg i sitt säkerhetsarbete är en närmast utopisk målbild, frågan är om det ens är möjligt att uppnå. Men att förbättra det proaktiva säkerhetsarbetet baserat på en gedigen nulägesanalys som beaktar aspekterna Människa, Process och Teknik är ett stort steg i rätt riktning.   

BIO

Samuel Taub
Informationssäkerhetskonsult 

Roligast med Atea: Att som informationssäkerhetskonsult kunna vara med och hjälpa kunder att ta ett samlat grepp om informationssäkerhetsfrågorna - att gå från ett reaktivt till ett proaktiv säkerhetsarbete baserat på risk och med en gedigen systematik. Att kunna göra detta utan att det blir svårt, segdraget eller bara en pappersprodukt. Att på riktigt göra kunderna säkrare.

Innan Atea: Arbetade med strategisk analys av samhällets informations- och cybersäkerhet på Myndigheten för samhällsskydd och beredskap (MSB).

I otydligheten frodas sårbarheterna 

Att arbeta med säkerhet, såväl informations- som it-säkerhet, är inget som behöver motiveras vidare. Informationssäkerhetsarbetet fokuserar på vad som ska skyddas och varför, och utförs av verksamheten, it-säkerhetsarbetet översätter de policys och rutiner som skapas av informationssäkerhetsarbetet och svarar på frågan hur informationen skyddas i den digitala och uppkopplade miljön. Stora uppmärksammade incidenter, samt flera mindre, men ändock kännbara, händelser för användare gör att säkerhetsfrågan blir svår att nonchalera. Vidare driver juridiken vissa frågor, vilken information får lagras vart? Samt vilka krav ställs på organisationer i termer av rapportering, eller ytterst vilka bötesbelopp kan bli aktuella. Det kan tyckas vara en djungel av krav, hotaktörer och förväntningar att navigera i, och mer ofta än sällan läggs denna kravmassa på it-avdelningen med motiveringen att ”det handlar ju om data/it?”. En sådan beställning är omöjlig att svara på för vilken it-avdelning som helst, och det bidrar till osäkerheten eftersom verksamheten lever i tron att ”det där fixar it”, och it lever med otydliga och ibland ouppnåeliga krav. I denna otydlighet frodas sårbarheterna, oavsett om det är säkerhetsluckor som utnyttjas av externa antagonister, eller otydligheter som leder till osäkert beteende hos de anställda. 

Arbeta proaktivt med tydligt engagemang från ledningsgruppen 

För att komma åt och synliggöra otydligheterna i en organisation behöver hela verksamheten inkluderas, ledningen behöver ge sin syn på upplevd säkerhet, var de anser att ansvaret ligger och bör ligga. Verksamheten behöver också inkluderas för att identifiera hur medarbetare faktiskt arbetar, vilka dokument känner man till vilka kontaktvägar finns, med mera. Vid genomförandet av en Security Roadmap for Management intervjuas utvalda delar av organisationen för att få svar på dessa frågor. Parallellt med detta genomförs tekniska tester av it-säkerheten, penetrationstester, sårbarhetsscanningar, CIS kontroller, med mera. När Atea har fått tillgång till såväl medarbetare och it-miljö går det att analysera hela säkerhetsarbetet, och på basis av det rekommendera vad som ger bäst effekt för just din organisation. Säkerhetshöjande åtgärder kan vara både kort- mellan- och långsiktiga, och spänner över hela säkerhetsområdet, allt ifrån administrativa åtgärder som på sikt bygger mot ett LIS (Ledningssystem för Informationssäkerhet), till rent tekniska åtgärder för att täppa till säkerhetshål som kan nyttjas av illasinnade aktörer här och nu. 

Att påbörja arbetet med en nulägesanalys kräver inte mycket, det som krävs och som är absolut nödvändigt är ett engagemang från verksamheten och ledningen som översätts till tillgänglighet för de konsulter som ska intervjua eller genomföra tekniska tester hos er. Det som avgör hur detaljerad, skarp och användbar analysen blir är tillgängligheten, engagemanget och uppmärksamheten säkerhetsarbetet ges hos er.  

Genom att ta ett holistiskt grepp om säkerheten ges förutsättningar att arbeta systematiskt och riskbaserat, och därmed proaktivt, med säkerhetsarbetet. Att gå från ett reaktivt arbetssätt där man ”jagar” lösningar på problem och incidenter som uppstår, till att arbeta proaktivt med tydligt engagemang från ledningsgruppen hela vägen ned i organisationen, skapar förutsättningar som minskar ”ont i magen” i det korta perspektivet, och ökar effektivitet och ger besparingar i det långa.

Med en Security Roadmap for Management investerar du i rätt säkerhet och får en konkret och tydlig handlingsplan anpassad för din verksamhet.