Infosäkkollen – en termometer för informationssäkerhetsarbete av Mats Österlund
Som en följd av de senaste årens försämrade säkerhetsläge i omvärlden och en enorm ökning i antal attacker från cyberkriminella har lagstiftningen inom informationssäkerhetsområdet stärkts upp betydligt. Bland annat med införandet av GDPR, förändringar i Säkerhetsskyddslagen och NIS I- och NIS-II-direktiven. Samtidigt pågår ett stort arbete inom EU för att stärka informationssäkerhetsarbetet inom energisektorn. Allt detta ställer högre och skarpare krav på verksamheternas arbete med informationssäkerhet.
Som en del i att förstärka informationssäkerheten i offentlig sektor fick Myndigheten för samhällsskydd och beredskap (MSB) år 2019 ett regeringsuppdrag att ta fram verktyg för att följa upp det systematiska informationssäkerhetsarbetet. Ett delresultat av uppdraget blev verktyget Infosäkkollen som riktar sig till kommuner, regioner och statliga myndigheter för att stödja deras förbättringsarbete inom informationssäkerhetsområdet.
Infosäkkollen är uppbyggt utifrån MSB:s föreskrifter och stöd, som i sin tur bygger på standardserien ISO/IEC 27000. Verktyget ger stöd till uppföljning på en strategisk nivå och efter att man genomfört Infosäkkollen visar resultatet i vilken utsträckning organisationen bedriver ett systematiskt informationssäkerhetsarbete. Statliga myndigheter är skyldiga att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete enligt MSB:s föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2020:6). Men även organisationer som inte omfattas av föreskrifterna kan använda dem som stöd för arbetet och för att hitta rätt ambitionsnivå för sitt interna informationssäkerhetsarbete.
En av poängerna med att använda Infosäkkollen är att stärka säkerhetskulturen i verksamheten. Begreppet säkerhetskultur är ett ganska sammansatt begrepp som består av tankemönster, värderingar och beteenden hos grupper och individer. Medarbetarnas kunskaper, ledningens och kollegernas signaler samt hur individens arbetssituation ser ut är några exempel på faktorer som påverkar resultatet av informationssäkerhetsarbetet.
Med hjälp av Infosäkkollen får verksamheten en återkoppling om vilken nivå organisationen befinner sig på och vilka utvecklingsområden som är viktiga att fokusera på för framtiden. De 10 delområden som Infosäkkollen belyser är:
- analys och hantering av informationssäkerhetsrisker
- incident- och kontinuitetshantering
- informationsklassning
- inventering, undersökningar och omvärldsbevakning
- ledningens styrning och kontroll
- utbildningsverksamhet och medarbetarnas kunskaper
- säkerhetsåtgärder och förbättringsarbete
- uppföljning och utvärdering
- upphandling samt
- upprättande och utveckling av säkerhetskultur
Efter man genomfört Infosäkkollen ska kommuner, regioner och statliga myndigheter rapportera in sina resultat till MSB, som ställer samman svaren. Verktyget ger direkt återkoppling på vilken nivå man ligger, men tack vare MSB:s sammanställning är det möjligt att jämföra sitt resultat med andra liknande verksamheter.
Informationssäkerhet är ett gemensamt ansvar för hela organisationen. Säkerhet är en förutsättning för att man ska kunna använda sin information på avsett sätt och med hjälp av den nå sina mål. Att bedriva ett systematiskt arbete med informationssäkerhet betyder att det finns en tydlig och strukturerad styrning som grundar sig i ledningens vision och mål. Det övergripande syftet med ett systematiskt informationssäkerhetsarbete är att ge informationen rätt skyddsnivå och genom ständiga förbättringar anpassa sig till förändringar i omvärlden.
De grundläggande stegen vid allt systematiskt informationssäkerhetsarbete är att:
- identifiera sina informationstillgångar
- värdera informationstillgångarna utifrån konfidentialitet, riktighet och tillgänglighet
- bedöma vilka risker som kan förekomma när informationstillgångarna hanteras
- införa ändamålsenliga och proportionerliga säkerhetsåtgärder.
Så arbetar man med Infosäkkollen
Infosäkkollen är i grunden byggt i Excel. Kärnan är ett formulär med frågor som belyser centrala delar av det systematiska informationssäkerhetsarbetet utifrån de 10 delområdena. Man samlar in underlag, så brett som möjligt, från olika delar av organisationen. Ett bra sätt att samla in den nödvändiga informationen är en workshop där olika funktioner och roller deltar. Informationssäkerhetssamordnaren kan med fördel hålla ihop arbetet, men det är inte avgörande. Det viktigaste är att det samlade svaret förankras hos ledningen för att få upp informationssäkerhetsfrågan på rätt nivå i organisationen. Förankringen i ledningen gör man lämpligen genom att baka in resultatet från Infosäkkollen i Ledningens Genomgång som man bör genomföra en gång per år (om organisationen arbetar enligt ett LIS baserat på ISO 27001)
Verktyget delar in det systematiska informationssäkerhetsarbetet i fyra nivåer, som är tänkta att svara mot ett stegvis utvecklingsarbete:
- Nivå 1: Organisationer som har grunderna i informationssäkerhetsarbetet på plats, åtminstone i begränsad utsträckning.
- Nivå 2: Organisationer som bedriver informationssäkerhetsarbetet med en viss systematik, och som är bättre på grunderna än på nivå 1.
- Nivå 3: Organisationer som har ett kvalificerat innehåll i sitt informationssäkerhetsarbete, och som är bättre på både grunderna och systematiken än på nivå 2.
- Nivå 4 – Organisationer som arbetar avancerat med ständiga förbättringar, samt är bättre på såväl grunderna som systematiken och innehållet än på nivå 3.
Direkt när man har fyllt i svaren ger Infosäkkollen svar på vilken nivå av 1–4 organisationen befinner sig och vilka områden som behöver utvecklas. Verktyget ger en översiktsbild som man kan använda som underlag för diskussion i till exempel ledningsgruppen.
Gemensamt för alla nivåer är att de bygger vidare på och fördjupar innehållet från föregående nivå. Till exempel har en organisation på nivå 2 inte bara utvecklat viss systematik i sitt arbete utan också kommit längre med informationssäkerhetens grunder än en organisation på nivå 1.
Frågorna på den lägsta nivån mäter om organisationen har de grundläggande delarna i informationssäkerhetsarbetet på plats. Frågorna undersöker bland annat:
- om ledningen är engagerad i informationssäkerhetsarbetet
- om organisationen har inventerat sina informationstillgångar
- om organisationen har infört arbetssätt på centrala områden (som tex informationsklassning och riskhantering)
- om organisationen har undersökt medarbetarnas kunskaper inom informationssäkerhetsarbete.
Att ledningen tar kontroll över arbetet med informationssäkerhet är avgörande för resultatet. Återkommande uppföljningar och utvärderingar av arbetets olika delar är också ett centralt underlag i styrningen. Att arbeta systematiskt innebär att man arbetar medvetet och metodiskt genom de olika LIS-stegen Planera, Genomföra, Följa upp, Utvärdera och Förbättra.
Konkret innebär det att organisationen, för de olika delarna i informationssäkerhetsarbetet:
- medvetet väljer arbetssätt, till exempel beslutar och dokumenterar om riktlinjer, rutiner, instruktioner, modeller eller verktyg
- implementerar och tillämpar arbetssätten i alla relevanta situationer och verksamhetsprocesser
- regelbundet följer upp resultaten av arbetssätten
- utvärderar och förbättrar arbetssätten.
Uppföljningen med Infosäkkollen avser de senaste två åren, därför kommer nyligen genomförda åtgärder och förbättringar inte att få fullt genomslag i återkopplingen från Infosäkkollen. Själva nyttan med resultatet handlar om att se framåt. Tanken är att få ett underlag till arbetet med ständiga förbättringar, och att främja en positiv uppföljningskultur över tid, snarare än att fokusera på resultatet i sig. Att mäta systematiskt informationssäkerhetsarbete är komplext och kan göras på väldigt många olika sätt. Men den återkoppling som ges av Infosäkkollen ger en kvalificerad bedömning utifrån svaren i de 10 olika delområdena.
Informationssäkerhet är ett gemensamt ansvar för hela organisationen. Säkerhet är en förutsättning för att man ska kunna använda sin information på avsett sätt och med hjälp av den nå sina mål.
Resultatet av organisationens arbete med riskanalys ska naturligtvis användas vid valet av säkerhetsåtgärder, men också som underlag för att utforma medarbetarnas utbildning. Informationssäkerheten i organisationen påverkas inte bara av de olika arbetsmomenten i informationssäkerhetsarbetet och de tekniska eller administrativa säkerhetsåtgärder som införs. Även säkerhetskulturen i organisationen spelar en viktig roll för att både det systematiska arbetet och skyddet ska fungera.
Analys
När man genomfört Infosäkkollen och påbörjar sin analys så presenterar verktyget ett sammanfattande spindeldiagram. Tillsammans med stapeldiagram, som visar uppfyllnadsgrad i procent, för vart och ett av de 10 delområden ger detta en bild av organisationens nivåuppfyllnad. Med hjälp av detta kan man sedan jämföra resultat mellan olika år för att fånga och visa på de förflyttningar som gjorts i organisationen.
Bildtext: Spindeldiagram som visar organisationens resultat inom varje delområde när man genomfört Infosäkkollen. Finns också
möjlighet att visa organisationens målsättningar.
I Infosäkkollens flik för ”Analysstöd” kan man redogöra för hur man själv ser på resultatet samt plotta ut målbilden för de kommande två åren. Denna information ska i huvudsak användas internt och den kan med fördel kommuniceras i en presentation till ledningsgruppen.
Det är viktigt att komma ihåg att modellen bara kan ge en indikation om vilken nivå man ligger på, den är inte tänkt att omfatta hela MSB:s författning eller alla sätt som kraven kan uppnås på. Till exempel berör modellen inte fysiskt skydd. Den mäter heller inte hur organisationens arbete förhåller sig till specifika krav i andra författningar, exempelvis dataskyddsförordningen eller säkerhetsskyddslagen.
Säker och osäker bedömning
För varje fråga behöver man avgöra hur säkert eller osäkert svaret eller svaren är. Det kan vara en fördel när organisationer har goda skäl att tro, men inte helt säkert vet, att en viss del av det systematiska informationssäkerhetsarbetet ser ut på ett visst sätt. Om man kryssar i flera svarsalternativ betyder ”Säker bedömning” att det finns dokumenterade och tydliga belägg för alla valda svarsalternativ. Alla frågor i Infosäkkollen handlar om den senaste tvåårsperioden, eftersom nivån på organisationens informationssäkerhetsarbete är resultatet av arbete och val som har gjorts över tid. Då både förändringar och uppföljning tar tid att genomföra blir det inte effektivt att mäta för ofta. Det är också en fördel att mätperioden sammanfaller med hur ofta uppföljningen genomförs. Man kan få positiva effekter om man lyckas integrera uppföljningen av informationssäkerhetsarbetet med verksamhetens övriga uppföljningar av kvalitet och ekonomi. Om man lyckas med det så blir inte informationssäkerhet ett eget område, utan en komponent tillsammans med andra, som också ska följas upp.
Sundsvalls kommun
Camilla Eriksson är informationssäkerhetssamordnare, placerad på Kommunstyrelsen i Sundsvall. Där har man använt Infosäkkollen för att stärka kommunens systematiska informationssäkerhetsarbete. Hon har sammanställt resultatet för alla förvaltningar och kommunala bolag. Därefter hon hållit genomgångar med ledningsgrupperna på kommunkontoret och i ledningsgruppen för Stadsbacken, som koncernen med de kommunala bolagen heter.
Överlag är hon väldigt nöjd med Infosäkkollen: ”Det är ett bra verktyg som är enkelt att använda. Tack vare att det är byggt i Excel, behövs inga fräsiga applikationer. Användningen blir ganska självförklarande och man får enkla och tydliga resultat.”
Camilla Eriksson tycker att det är en fördel att kunna skicka ut en separat kopia av Infosäkkollen till varje nämnd och bolag så att de själva kan driva sin utveckling, med stöd från hennes roll, som centralt placerad informationssäkerhetssamordnare. När nämnderna och bolagen svarat har Camilla sammanställt en separat rapport för nämnderna och en för bolagen. Tyvärr blir ofta uppföljningen och återkopplingen på lokal nivå eftersatt på grund av att det inte finns tillräckligt med kvalificerade resurser. Trots detta så anser Camilla att Infosäkkollen väl fyller sitt syfte och bidrar till att öka medvetenheten om informationssäkerhet bland medarbetarna och att föra upp frågorna på ledningsnivå.
Personligen anser jag att det är relativt vanligt med en okunskap om risker och informationssäkerhet bland företag och myndigheter. Jag tycker det är viktigt med en tydlighet i organisationerna när det gäller ansvar och roller. Där är Infosäkkollen ett tillräckligt bra verktyg som bidrar till att stärka företags och myndigheters arbete med informationssäkerhet.
Infosäkkollens upplägg med att brett samla in information om policydokument, regler, attityder och arbetssätt m.m. inom en organisation medverkar väldigt bra till att uppmärksamma frågor om informationssäkerhet och föra upp dem på ledningens bord. För i slutändan är informationssäkerhet vanligen inte en ledningsfråga – förrän det blir det. Och då riskerar verksamheten dryga sanktionsavgifter eller störningar i sin verksamhet, som en följd av allvarliga incidenter på grund av att arbetet kommit igång för sent.
Mats Österlund är konsult inom informationssäkerhet på Arkiv IT. Han har jobbat med it i många olika former sedan slutet av 1990-talet. Med informationssäkerhet sedan 2017. Har för närvarande uppdrag som informationssäkerhetsstrateg på Region Värmland. På fritiden är han en inbiten skogs- och fjällvandrare, seglare. Åker gärna till alperna för skidåkning.