IT-Total | Blogg | Säker IT

Systematiskt informationssäkerhetsarbete

Skriven av Juha Nikumaa | 2021-okt-12 06:00:00

Att släcka akuta säkerhetsbrister eller risker är vad många verksamheter gör idag. Det finns självklart tillfällen då detta förhållningssätt till säkerhet är helt korrekt. Har det identifierats en risk eller brist av ytterst hög karaktär så måste det hanteras akut. Däremot att arbeta dagligen med konceptet "whack a mole", är både ineffektivt och resurskrävande, ja till och med väldigt frustrerande i längden. Det kan även vara motverka verksamhetens mål och behov/ krav. Det man istället ska sträva efter är ett systematiskt informationssäkerhetsarbete. 

 De fyra faser i detta arbete är;

  • Analysera
  • Utforma
  • Använda
  • Följ upp & förbättra

 

 

Analysera

I denna fas identifierar vi och analyserar verksamheten, omvärlden, risker samt var verksamheten står idag och vart vill vi komma. Dvs en GAP-analys. Utan att ha dessa områden och frågor besvarade är det svårt att göra en plan och värdering av vad för arbete vi har framför oss. Risken är helt enkelt att resurser förbrukas felaktigt och utan att ge rätt värde. I denna fas lägger vi grunden till fortsatt informationssäkerhetsarbetet.

 

Utforma

För att lyckas kommer det behövas en organisation och ansvarsfördelning. Styrdokument men även en utformad och kommunicerad strategi. Det finns ganska många verksamheter som just missat att kommunicera ut bl.a. styrdokument. Dokumenten finns utarbetade, men få känner till dom. För att informationssäkerhetsarbetet ska vara effektivt behöver vi i denna fas även arbeta med klassning av data/ informationen, dvs det om är värdet i majoriteten av organisationer och det vi vill skydda. Informationen har tre krav och dessa är konfidentialitet, riktighet och tillgänglighet. När vi väl har utfört klassningen kan vi vidta åtgärder för att skydda. Åtgärderna kan vara både tekniska och mer "mjuka" som tex processer, arbetssätt och styrdokument. För att sedan få struktur i fortsatt arbete skapas en handlingsplan med prioriterade aktiviteter samt även mål.

 

Använd

I tredje fasen är det dags att tillämpa det som tidigare arbetats fram. Information ska klassas samt eventuellt ska säkerhetsåtgärder appliceras för respektive klassning. Aktiviteterna i handlingsplanen ska utföras och allt detta ska styras av den organisation som vi utformat för informationssäkerhetsarbetet. En viktig del i arbetet är att utbilda slutanvändare och kollegor. Oavsett hur mycket resurser ni tillsatt så spelar det ingen roll om inte den lägsta kunskapsnivån höjs samt att alla vet hur tex de olika nivåer i tex informationsklassningen ska användas och varför. Allt arbete som vi gör kring säkerhet är återkommande och det är även utbildningen. En viktig tillgång och parameter i denna fas är att någon leder och följer upp arbetet. Risken finns annars att allt annat dagligt arbete går före. Vissa delar behöver även samordnas och självklart testas.

 

Granska och förbättra

Hur gick då arbetet som vi tidigare planerade? Vi granskar vilka mål vi uppfyllt. Utvärderar arbetet, organisationen, skyddsåtgärder och förbättrar det vi anser kunde utförts eller utformats bättre. Eller var det så att vi underskattade arbetet vi hade framför oss och behöver justera tidsplan, budget eller resurser? Här granskar vi även efterlevnaden av tex informationsklassning. Används de korrekt och om inte, vad är orsaken till detta? Okunskap eller har man kringgått något pga. att det inte fungerar rent praktiskt för verksamheten? Vi designade kanske för många och hårda säkerhetsåtgärder vilket gjorde att ett av de tidigare kraven, tillgänglighet, inte kunde uppfylldas?

 

Viktiga tankar att ta med sig av allt detta;

  • Arbetet ska anpassas efter din organisation, verksamhet och dess styrning. Finns inga färdiga planer och paket som fungerar för alla.
  • Informationssäkerhetsarbetet ska vara integrerat med resten av verksamheten.
  • Arbetet sker i återkommande cykler, dvs det kan aldrig anses vara färdigt.
  • Glöm för allt vad ni gör inte första fasen; Identifiera & Analysera.

 

Ett extra tips är att inte förvänta sig att någon extern ska komma till Er verksamhet och lösa allt på något magiskt sätt. Ledningens engagemang och involvering i arbetet måste finnas för att lyckas. Arbetet görs tillsammans.

 

 

/Juha Nikumaa (CISA & CISM)

Information & Cyber Security Consultant