Hej Daniel, vi börjar med en “enkel” fråga, varför är det viktigt för organisationer att ha en plan för arbetet med informationssäkerhet?
Informationssäkerhet är ett brett område som berör både personer, processer och teknik. För många organisationer är det svårt att veta vad som är viktigast, eller vilken ände man ska börja i. Risken blir då att man antingen fokuserar på fel saker, eller kanske inte gör något alls. En plan baserad på branschens best practice är en stor hjälp att komma i gång i rätt ände och börja göra bra saker!
Vari ligger riskerna att inte ha kontroll över sin informationshantering?
Många associerar informationssäkerhet främst med hotet att illasinnade hackers ska komma över känslig eller hemlig information. Vilket så klart kan vara en reell risk. Men faktum är att större delen av informationssäkerhetsincidenter handlar om interna misstag som till exempel kan leda till att viktig information blir fel, eller inte går att komma åt när den behövs. Detta kan ge stora effekter och kostsamma avbrott i verksamheten. Därför är det viktigt att ta ett helhetsgrepp över sin informationshantering, och tänka på säkerheten i alla de tre perspektiven Konfidentialitet, Riktighet och Tillgänglighet.
Har och i så fall hur din roll som enterprisearkitekt inverkat på det arbete du bedriver inom området informationssäkerhet?
Som enterprisearkitekt upplevde jag ibland att säkerhet betraktades som ”någon annans problem”, och som något som man kan lägga till i efterhand. På samma sätt kan jag uppleva att informationssäkerhet ibland tenderar att bli en lite för ”isolerad ö” som skriver policys och dokument som inte på riktigt hjälper utvecklare och förvaltare att faktiskt höja sin säkerhet.
Samtidigt handlar både informationssäkerhet och enterprisearkitektur till mångt och mycket om samma saker! Båda berör ämnen som processer, information, IT-system, hårdvara, fysiska lokaler, och leverantörer. Så det finns en väldigt stor synergi att få dessa två discipliner att samarbeta närmare med varandra!
Vad är cybersäkerhet och är det en del av informationssäkerhetsarbetet?
Cybersäkerhet har blivit ett populärt ord som används för nästan allt som har med informations- eller IT-säkerhet att göra. Traditionellt så tolkar jag det som att cybersäkerhet är den del av teknisk IT-säkerhet som har med externa hotkällor att göra. Teknisk IT-säkerhet i sin tur är en del i det mer övergripande begreppet informationssäkerhet, som också inkluderar administrativa säkerhetsåtgärder.
Berätta lite mer om den programvara ni utvecklat på Omegapoint och vad den hjälper kunderna med?
När vi började utveckla vårt verktyg så var ambitionen att bygga en plattform där både arkitekter och informationssäkerhetsexperter skulle arbeta tillsammans i ett och samma verktyg. Det har med tiden blivit en relativt komplex produkt som fungerar både som ett översiktligt arkitekturmodelleringsverktyg och ett stödsystem för informationssäkerhetsarbete. Vi kallar det numera Compliance and Information Security Organizer, eller ”Ciso” i korthet.
Och slutligen, om man står handfallen och inte vet var man ska börja- vilka är dina bästa tips och lärdomar från dina år i branschen?
Ta hjälp av de standarder och best practices som finns! T.ex. strukturera arbetet och organisationen kring informationssäkerhet i enlighet med ISO 27001. Och så klart – undvik att jobba med alltför många Excellistor och lösa dokument, och använd i stället ett bra verktyg där ni kan samla allt och både få en överblick, borra ned i detaljer, och bygga upp en historik för hur ert informationssäkerhetsarbete utvecklas över tiden!
Daniel Lilliehöök är Ph.D., Enterprisearkitekt och informationssäkerhetsexpert på Omegapoint. Daniel har en bakgrund som IT- och enterprisearkitekt, och jobbar sen ca 7 år inom gränslandet mellan arkitektur och informationssäkerhet. Daniel är en av grundarna av bolaget Innovate Security och har varit drivande av utvecklingen av det egna stödverktyget för informationssäkerhet och modellering
som idag heter Omegapoint Ciso (tidigare ESM). Läs gärna mer om det på ciso.se!
