Billigaste och enklaste säkerhetsåtgärden? – Bästa knepet!

I förvånansvärt många fall är det också så att kundens uppföljning av dessa krav är totalt obefintlig, så kunden har ingen aning om vilken faktisk säkerhetsnivå de har. Den kan vara jättebra, eller inte. I vissa fall får kunden mer än vad de betalar för, i flera fall mindre.

Genom att göra en enkel säkerhetsuppföljning så kan du sannolikt finna många brister i leveransen, så att du utan extra kostnad kan få en höjning av säkerhetsnivån till den nivån du faktiskt betalar för.

Vad tror du? Får du den säkerhetsnivå du betalar för?

Låt mig ge några exempel på varför jag inte tror det. Det första är ett citat från en organisation som bedriver samhällsviktig verksamhet. Jag frågade personen som var ansvarig för den interna IT-säkerheten varför de inte hade gjort någon uppföljning.

”Vi vill ju inte fråga om saker där vi vet att svaret är nej”

Det andra exemplet är från en kommersiell organisation (inte Atea…) där det diskuterades med leveransansvarige vilka åtgärder som behövde vidtas för att leva upp till säkerhetsskyddsavtalet med en kund.

”Nej, för fan, lägg ingen tid på det där, det ger ju inga intäkter”

Det tredje exemplet har jag fått censurera lite, men det är ett citat från en IT-chef på väldigt hög nivå.

”Jag är inte så orolig för säkerhetsbristerna, men finns det nå’t som vi kan få skit i media för?”

Exemplen ovan är visserligen de värsta från mina drygt 35 års arbete med drift och säkerhet, men de visar på ett felaktigt synsätt som berör olika kunder, leverantörer eller branscher.

Det är viktigare än någonsin att följa upp sin leverantör, oavsett om den är intern eller extern. Om man läser Säpos och FRA:s årliga rapporter så finns det en mycket illavarslande trend. Det blir allt vanligare att olika antagonister angriper sina mål via leverantörerna. Det kanske är en tillfällighet, eller kanske har antagonisterna upptäckt att de dels får mängdrabatt (flera kunder drabbas om antagonisten slår ut kundernas gemensamma leverantör) och dels att leverantörerna (pga bristande kravställning och obefintlig uppföljning från kunderna) kanske har lägre säkerhetsnivå?

Så, hur gör du en säkerhetsuppföljning av din interna eller externa leverantör?

Grovt förenklat så finns det tre nivåer. Det finns förstås olika modeller att använda, men se detta som exempel:

Snabba stickprovLäs SLA/avtal, identifiera några nyckelfaktorer eller viktiga områden och sammanställ dem. Skicka listan till leverantören och säg att du vill ha möte om två veckor för avrapportering av status.

Regelbunden rapportering

Gå igenom lite mer noggrant vad du vill ha uppföljning på. Säg till leverantören att du vill ha månadsvis uppföljning av säkerhetsnivåerna i avtalet. Be dem om ett förslag på vad de vill rapportera. Kolla om det stämmer med din lista och fortsätt diskussionen.

Systematisk säkerhetsuppföljning

Upprätta ett kontrolluniversum. Det är enkelt uttryckt en matris med ”vilka kontroller ska göras utifrån vilka lagkrav, kundkrav, verksamhetskrav, etc” på ena axeln och ”vilka organisationer, system, rutiner, byggnader, leveranser, etc, ska kontrolleras” på andra axeln. Välj ut vilka kontroller som ska göras innevarande år, så har du din kontrollplan färdig.

Om du inte vill göra uppföljningsjobbet själv, så finns det flera leverantörer som är bra på det. (Bland annat Atea…) Det finns också fördjupning i ISO 27004, ISO 27014, ISO27017 och många andra bruksanvisningar.

Avslutningsvis, finns det inga goda exempel? Jo, det finns för många för att lista här, men här är två: Såväl SKF som Essity hade redan på 90-talet systematisk säkerhetsuppföljning av sin IT-drift.

Säkerhetsuppföljning är inget nytt. Det är sannolikt billigaste sättet att höja sin säkerhetsnivå, så det är bara att köra igång.