2021-03-26

Säkerhetsinsikter på Atea Insikt

Efter Atea Insikt | Först och främst, vilken grej Atea Insikt blev! Vårt verksamhetsfokuserade digitala event, där just verksamhetsnyttan med informationsteknologi stod i fokus, lockade runt 800 personer. En stor eloge till alla inblandade föredragshållare och arrangörer!

Carl-Johan Ekelund
Carl-Johan Ekelund Concept Manager

Jag tog som uppgift att spana efter informationssäkerhet…vilket hade har varit lätt om jag hade lyssnat in på de föredrag som hade ett tydligt sådant fokus. Jag valde istället en ”road less traveled by” som Robert Frost skrev.

Hur hänger då verksamhetsfokus och informationssäkerhet ihop? Jo, men det passar ju som handen i handsken, verksamheten är ju de som är ansvariga för informationssäkerhet! Informationssäkerhet handlar inte om att välja krypteringsalgoritm, utan om att ställa krav som omsätts till t.ex. krypteringsalgoritmer och nyckelhantering.

Min spaning är att många pratade om informationssäkerhet utan att egentligen veta om det…alltså beskrivningar om på vilket sätt deras informationsteknologi är viktig för dem. Hög effektivitet, träffsäkerhet osv. är egentligen sånt som vi infosäkare vill få verksamheten att berätta om och vi kallar det för riktighet och tillgänglighet. Det finns något som heter konfidentialitet/sekretess också men det vet alla.

För att bli konkret så kommer här några exempel:

  • En AI tränas för att ge "rätt svar". Riktighet i detta träningsdata är viktigt för att AI:n ska bli bra och ge ett träffsäkert och riktigt resultat. Skit in, skit ut.
  • En RPA förväntas jobba i en viss takt och med en viss precision - läs höga riktighets- och tillgänglighetskrav. 

Verksamheterna ska sätta nivån och kraven på säkerheten i de digitaliseringslösningar som byggs. Formuleringar om hur viktig en tillämpning är, eller blir för den delen, behöver omsättas i olika åtgärder, t.ex. teknisk redundans eller reservrutiner. Detta behöver omvärderas kontinuerligt då beroendet av tekniken ökar, en tillfällig lösning blir permanent och verksamhetskritisk.

En sista spaning - verksamhetsmål! Det är så kul att se verksamheter som ser att säkerhetslösningar hjälper dem i att uppnå sina verksamhetsmål. Ett SIEM med en SOC kan för en tillgänglighetskritisk organisation hitta indikationer på att något är på väg söderut och förebygga stora driftstörningar.

Hur gör man då för att digitalisera effektivt och med rätt säkerhet? Jo, jobba systematiskt med informationssäkerhet. Identifiera och klassa din information och tillgångar. Ha det färdigt och uppdaterat när det sen blir dags för en ny spännande tillämpning. Plocka sen ut den information som är aktuell för "den nya tillämpningen" och klassa systemet. Analysera vad detta innebär för behov och krav. Komplettera med en riskanalys om det information och system är guld värt för verksamheten.

Systematiskt informationssäkerhetsarbete ger effektiv digitalisering och informationsteknologi med rätt kvalitet.