Trygg informationshantering av Tobias Ander

God informationssäkerhet handlar inte bara om att skydda verksamhetens tillgångar med hjälp av teknik. Det handlar lika mycket om att utveckla rutiner, processer och medarbetare. Många organisationer kan väsentligt öka effektiviteten i informationssäkerhetsarbetet genom att förändra kulturen. 

Vi ser idag en digitalisering och ett användande av IT i situationer som var otänkbara för 10–20 år sedan. Det blir allt lättare att koppla upp sig mot internet, att sammanföra företag, organisationer, individer och saker. Digitaliseringen och utbredningen av IoT (Internet of things) sker i en rasande fart och åstadkommer enorma förändringar i samhället, såväl för oss som privatpersoner som för våra organisationer. Denna utveckling erbjuder nya funktioner och lösningar som hjälper oss att bli snabbare, effektivare och att hitta helt nya verksamhetsområden. De här förändringarna har dock en baksida om de inte genomförs på ett bra sätt. 1 

Hur gör vi då för att skydda informationen i en ny digital tidsålder där vi kopplar upp glödlampor, kylskåp, tv, hem- och företagsdatorer samt mobiltelefoner? Att låta någon bekant eller obekant låna vårt wifi när de är på besök i våra hem är lika naturligt som att låna ut toaletten. Vad kan hända, varför ska jag bry mig? Förutom nya möjligheter innebär den här utvecklingen nya risker både för våra organisationer och våra hem. Vi kan inte lägga över ansvaret på någon annan och lita på att våra tekniska prylar ger oss all den säkerhet som behövs för att vi ska känna oss säkra. 

I och med den snabba förändringen i vår omvärld och vårt massivt ökade beroende av digitalisering och information – speciellt i våra organisationer – behöver även informationssäkerhetsarbetet ta flera steg framåt. Det räcker inte att enbart skydda organisationen med hjälp av teknik, policy och utbildning. Vi behöver bygga en organisation där alla förstår att de är en del av skyddet av verksamhetens information och kan vara med och bidra. En organisation där den allmänna förväntan är att varje medarbetare bidrar till informationssäkerheten, där varje medarbetare vill göra rätt, bete sig på ett informationssäkert sätt och ha rätt attityd. En organisation där det är lätt för medarbetarna att göra rätt. Det åstadkommer vi genom att skapa en informationssäkerhetskultur som stödjer verksamheten på verksamhetens och medarbetarnas villkor. 

Informationssäkerhet är de åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig när den behövs.2Detta är den gängse definitionen av vad ett informationssäkerhetsarbete innebär. Det blir dock ofta för krångligt för en verksamhet att förstå och hålla reda på olika termer inom området. En enklare definition kan vara säker informationshantering. Men oavsett hur man definierar arbetet förutsätter båda dessa definitioner underförstått att informationen eller informationshanteringen kan vara 100 procent säker. Det rimmar dock illa med de incidenter vi idag känner till. Utifrån dessa händelser blir det tydligt att vi aldrig kan uppnå 100 procent säkerhet och att informationen till exempel aldrig kommer vara tillgänglig hela tiden. 

Det är egentligen bättre att prata om trygg informationshantering, då det är det vi oftast strävar efter. Informationssäkerhetsarbetet handlar i de flesta fall om att den som äger informationen ska känna sig trygg i hur den hanteras, oavsett om det rör sig om mina privata personuppgifter, organisationens egen information eller information som hanteras på uppdrag av någon annan. 

Det handlar om att jag som informationsägare ska känna mig så trygg att jag kan bygga en verksamhet utifrån hur information hanteras. Men också om att jag som privatperson ska kunna lita på att en organisation hanterar mina personuppgifter på ett säkert sätt. 


Det räcker inte att enbart skydda organisationen med hjälp av teknik, policy och utbildning. Vi behöver bygga en organisation där alla förstår att de är en del av skyddet av verksamheten


Dagens Informationssäkerhetsansvarig (CISO) är inte en tekniknörd som kan det mesta om it eller it-säkerhet i organisationen. Det är en person som jobbar nära verksamheten, som leder och samordnar den i arbetet med att uppnå ett adekvat skydd. Han eller hon ser över hur man förändrar sina rutiner och sin styrning och får sina medarbetare att tillämpa en säker hantering av informationen. CISO:n behöver vara en förändringsledare med uppgift att bygga en informationssäkerhetskultur i organisationen, där varje individ är en viktig del av arbetet. 

Vi behöver ge medarbetarna en sund informationssäkerhetskultur att verka i, en kultur som jobbar med medarbetarnas attityder och beteendekontroll samt organisationens normer så att vi kan införa en rättvis, rapporterande och lärande miljö. Genom att göra det får vi en organisation som klarar av förändringar, incidenter och större tillbud. En verksamhet som är betydligt bättre rustad för kända och okända hot, nu och i framtiden. 


Faktaruta

CISO-rollens huvudsakliga arbetsuppgifter: leda och samordna säkerhetsarbetet 

Den som är CISO har det övergripande ansvaret att leda och samordna arbetet med informationssäkerhet i en organisation. Huvudansvaret för själva informationssäkerheten följer verksamhetsansvaret, och ligger därmed inte på rollen som CISO. 

Källa: https://www.informationssakerhet.se/metodstodet/utforma/ 2023-07-11 


Tobias Anders har lång och gedigen erfarenhet från arbetet med informationssäkerhet i offentlig verksamhet, som CISO på Transportstyrelsen och är idag bland annat it- säkerhetschef inom Försvarsmakten. Tobias arbetar idag aktivt med frågor kring ledning och styrning samt informationssäkerhetskultur och genomför utbildningar och föreläsningar utifrån sitt engagemang i företaget Securebyme.
.
Tobias vann år 2017 priset ”Årets GRC-profil” för sitt kunnande och engagemang inom governance risk compliance (god förvaltningssed, riskhantering och kravenlighet). Han är aktuell med handboken ”Informationssäkerhetskultur”.