Metoder för ett effektivare informationssäkerhetsarbete av Sam Ekenkrantz och Johan Onerhed
Hur kan man med stöd av mätning bedriva ett systematiskt riskbaserat informationssäkerhetsarbete? Och hur kan man effektivt arbeta med medarbetarnas medvetenhet i frågan.
Information är en av de värdefullaste och känsligaste tillgångarna i de flesta verksamheter. Utan att kunna lita på att man har tillgång till informationen eller att den är rätt och riktig så får alla verksamheter mycket stora problem. Det gäller oavsett om det handlar om bokföring, löneinformation, kundinformation etc. Därför blir allt fler ledningsgrupper medvetna om vikten av att skydda verksamhetens känsliga information. De kan även ha ökade krav från kunder och myndigheter samt en ökad hotbild mot verksamheten.
Arbetet med att skydda informationen – informationssäkerhet – är ett stort område i alla organisationer men tvingas ofta arbeta med begränsade resurser. Det leder i regel till utmaningar som:
- Vilken information har vi och vilket värde har den för verksamheten?
- Var hanteras och lagras den?
- Vilka lagkrav gäller för den?
- Vilka risker är den utsatt för?
Trots begränsade resurser är det viktigt att få till ett kvalitativt systematiskt informationssäkerhetsarbete, något som blir en allt större utmaning. Detta arbete måste följas upp efter hand både vad gäller medvetenheten hos medarbetarna och kvaliteten på införda säkerhetsåtgärder som syftar till att skydda informationen.
Att arbeta med riskhantering för att skydda sin information
Det är viktigt för alla organisationer att säkerställa att informationen hanteras på ett säkert sätt. Däri ligger att se till att den är skyddad med relevanta skyddsåtgärder för att minimera risken för dataintrång och andra säkerhetsproblem. Att ta stöd i ISO/IEC 27000-standarderna kan vara en bra idé. I dem kan man få stöd i att utveckla och implementera ett systematiskt riskbaserat informationssäkerhetsarbete. Man brukar benämna det som ett ledningssystem för informationssäkerhet (LIS). LIS är en strukturerad och systematisk metod för att hantera och skydda sina informationstillgångar genom att identifiera, bedöma och hantera risker. Ett sätt att arbeta med frågan är att ta fram en riskhanteringsplan som inkluderar följande steg:
- Identifiera informationstillgångar – Organisationen identifierar och värderar alla informationstillgångar som behöver skyddas, till exempel kundregister, anställningsregister, känsliga avtal, e-postmeddelanden, databaser med mera.
- Bedöm hot och sårbarheter – Organisationen bedömer vilka hot som kan påverka informationstillgångarna, till exempel dataintrång, virus, sabotage eller naturkatastrofer, samt bedömer sårbarheter i systemen som kan utnyttjas av hoten, till exempel bristande säkerhetskopiering, bristande autentisering eller utdaterade programvaror.
- Identifiera risker (riskanalysprocessen) – Organisationen genomför en riskanalys av ett avgränsat område (tjänst, system, enhet) genom att identifiera vilka risker som finns.
- Värdera risker (riskanalysprocessen) – Nästa steg i riskanalysprocessen är att värdera riskerna. För att så systematiskt och konsekvent som möjlig genomföra värderingen är det till stor nytta att ta hjälp av en så kallad normskala. En normskala beskriver en stegvis konsekvens som är trolig för organisationen för exempelvis områden som varumärke, pengar, person o.s.v. om risken inträffar. Och på samma sätt kan man även ha med en skala för bedömning av sannolikhet. Genom att sätta siffor på de olika alternativen (nivåerna) i konsekvensskalan kan man ha hjälp av en matematisk formel och en riskmatris för att få en övergripande bild av riskläget.
- Planera och genomföra åtgärder (riskanalysprocessen) – Organisationen hanterar riskerna genom att acceptera risken eller välja lämpliga skyddsåtgärder för att mildra, undvika eller överföra riskerna. Det kan till exempel vara aktiviteter som utbildning, uppgradering av brandväggar, antivirusprogram, säkerhetskopiering och autentiseringsmekanismer etc. Det är bra, och egentligen nödvändigt, att alla aktiviteter får en ansvarig och ett slutdatum.
- Följa upp och granska (riskanalysprocessen) – Organisationen följer upp och granskar sina genomförda säkerhetsåtgärder regelbundet för att säkerställa att de är effektiva och uppdaterade, förslagsvis genom mätning. Mer om mätning längre fram.
En viktig effekt av en riskanalysprocess är den medvetenhet som uppstår hos deltagarna och andra som får ta del av resultatet.
Uppdatera “den mänskliga brandväggen”
I många undersökningar pekas vi medarbetare ut som den kanske största informationssäkerhetsrisken. Som tur är blir medarbetarna alltmer medvetna om säkerhetsfrågor. Men om man inte inkluderar medarbetarna i säkerhetsarbetet kvarstår risken att vi som individer omedvetet gör ett misstag som på ett ögonblick kringgår alla tekniska och fysiska skyddsåtgärder. Samtidigt som informationssäkerheten oftast inte är en del av kärnverksamheten och därmed ibland glöms bort. Med andra ord behöver även den ”den mänskliga brandväggen” uppdateras regelbundet. Därför är det av mycket stor vikt att man planerar utbildnings- och informationsinsatser på ett sätt som ger så stor effekt som möjligt. En metod kan vara att dela upp informationssäkerhetsutbildningens innehåll i mindre block som för deltagarna är lätt att smälta och genomföra dessa block med regelbundenhet, exempelvis under vecko- eller månadsmöten. Blocken kan med fördel innehålla både en kunskapsdel och en omvärldsinformationsdel. Tanken är att arbetet med informationssäkerheten ska bli lika naturligt som att låsa dörren när man går hemifrån. Man kan också enkelt hitta händelser om informationssäkerhet att ta med som ett komplement till det interna materialet, exempelvis nyheter om incidenter eller dagsaktuella cyberhot.
I många undersökningar pekas vi medarbetare ut som den kanske största informationssäkerhetsrisken. Som tur är blir medarbetarna alltmer medvetna om säkerhetsfrågor.
Exempel på systematiskt riskbaserat informationssäkerhetsarbetet med stöd av mätning
Vad svarar man om ledningsgruppen eller någon annan del av verksamheten ställer frågan ”Hur bra säkerhet har vi” eller ”Är vi tillräckligt säkra”? Dessa är vanliga reflektioner från exempelvis en ledningsgrupp. Och frågorna är relevant då säkerheten blir allt viktigare för alla verksamheter. Då är det bra om man kan åskådliggöra säkerhetsnivån på ett lättförståeligt och trovärdigt sätt för dem. En bland flera viktiga frågor blir då hur man på ett så objektivt sätt som möjligt ”tagit reda på” vilken säkerhetsnivå verksamheten har.
En metod är att arbeta med mätning av implementerade säkerhetsåtgärder som helst täcker in både människa, organisation och teknik. Då är det till stor nytta om mätprogrammet som används går ut på att mäta prestandan (nivån) i verksamhetens säkerhetsåtgärder. Med andra ord: hur väl man har lyckats med införandet av sina säkerhetsåtgärder. Det innebär att mätprogrammet enligt vår erfarenhet bör vara utformat med ett antal fördefinierade mätpunkter där varje enskild mätpunkt följer en nummersatt kravbeskriven skala, gärna med en gemensam normnivå för varje enskild mätpunkt. Exempelvis att varje mätpunkt har en skala från 0–5 och att 3 är godkänd nivå (normen). Det är också bra för trovärdigheten om man kan koppla varje mätpunkt till en eller flera säkerhetsreferenser. Som bas kan man med fördel använda sig av informationssäkerhetsstandarden ISO/IEC 27001/27002, men det finns även andra lämpliga referensverk beroende på vad som ska mätas. Handlar det exempelvis om datorhallarna kan man även inkludera mätpunkter som använder sig av rekommendationer som arbetas fram av Myndigheten för samhällsskydd och beredskap (MSB). Inom ISO/IEC 27000-standarden finns även ISO/IEC 27004 som beskriver uppföljning genom bland annat mätning. Om sedan rapporten från en mätning även innehåller kommentarer och rekommendationer för varje mätpunkt som inte når upp till normnivån underlättar detta väldigt mycket det fortsatta praktiska säkerhetsarbetet. Exempelvis kan resultatet från en mätning sedan användas i riskanalysprocessen. En av de stora vinsterna med detta är att ett mätprogram täcker ett mycket större område än vad man oftast hinner med i traditionellt säkerhetsarbete. Beroende på utformning och omfattning får man en detaljerad bild av de olika delarna av informationssäkerhetsområdet, som organisatorisk säkerhet, fysisk säkerhet och systemsäkerhet.
Sammanfattningsvis får man genom mätning:
- Ett tydligt och kvalitativt underlag för kommunikation med ledningsgruppen och verksamheten
- Ett bra stöd för att avgöra vilka områden som man bör genomföra riskanalyser på
- Med ett fördefinierat mätprogram kan man följa upp och jämföra den egna verksamheten över tiden
Sam Ekenkrantz är sitechef och produktägare för Arkinet på Coor. Sam har arbetat med e-arkiv sedan 1998 och informationssäkerhet har utgjort ett ständigt centralt arbete i roller som systemarkitekt och produktägare. Intressanta utmaningarna är att få kartlägga det komplexa. Fritiden tillbringas med familjen ute i naturen eller hemma i trädgården bland odlingar och hönor.
Johan Onerhed arbetar inom affärsutveckling och informationssäkerhet för Arkinet på Coor. Johan har arbetat med digitalisering och e-arkivfrågor sedan 1995, samt 15 år med informationssäkerhet och GDPR som konsult och i olika roller. Bästa utmaningen är att få informationssäkerhetsarbetet att fungera i verkligheten i verksamheten. Fritiden går åt till familj, vänner och motion.