Hur du säkerställer ett adekvat skydd i en föränderlig och osäker värld

Alfreds_Closeup_Planets_South_America_Hands_Earth_Globe_565128_1280x853

Involvera människan

Inom informationssäkerhet används ofta begreppet MTO som står för människa, teknik och organisation. Detta förhållande är mycket intressant då det är kopplat till hur informationssäkerhetsarbetet bedrivs och efterlevs i olika verksamheter.

Om du till exempel ska implementera ISO27000-serien i säkerhetskänslig verksamhet och ska efterleva kraven i Säkerhetsskyddslagen (2018:585), blir fokuset ofta på teknik och organisation. Det beror på att det är relativt enkelt att använda de standarder, mallar och exempel som finns tillgängliga för att sätta upp tekniska och organisatoriska skyddsåtgärder.

Sista delen, människan, är mer komplex och svårhanterlig. Människan kan nämligen inte rättas in i 1:or och 0:or. För att få denna ”subjektiva parameter” att fungera är det andra faktorer som behöver synkas för att få effekt.

Personalsäkerhet, som är en säkerhetsskyddsåtgärd i Säkerhetsskyddslagen (2018:585), inkluderar säkerhetsprövning och utbildning av personal, vilket i högsta grad involverar kategorin människan. Personalsäkerhet nyttjas förstås på liknande sätt inom systematiskt informationssäkerhetsarbete liksom i ordinarie verksamhetsskyddsarbete. För att nå en fungerande säkerhetskultur i din verksamhet behöver personalsäkerheten vara centralt implementerad. Ett bra sätt för att få den att genomsyra hela verksamheten är att zooma ut och börja arbetet på makronivå.

Förhållandet makro-mikro

Det finns ramverk för klassning och hantering av information som väcker en del frågor när det gäller förhållandet mellan makro-mikro. Metoder för informationsklassificering som kommer av arbete med ISO27000-serien och förslag på skyddsåtgärder från exempelvis CIS Controls, är verktyg och arbetssätt på mikronivå. De verksamheter som endast har fokus på mikronivån (ramverket), riskerar ett glapp i säkerhetsarbetet. Att i stället zooma ut och inta ett tydligt makroperspektiv, skapar en helhetsbild för säkerhetsarbetet och i förlängningen ditt arbete med informations- och cybersäkerhet.

För att täcka detta glapp kan verksamheter med ”best practice” från säkerhetsskyddsarbetet arbeta med sitt verksamhetsskydd. Både säkerhetsskydd och verksamhetsskydd skyddar verksamhetens skyddsvärden mot negativ påverkan från antagonistiska hotaktörer. Här görs skillnad mellan fokus på nationell säkerhet (genom Säkerhetsskyddslagen [2018:585] benämnt som Sveriges säkerhet) och på skyddet för verksamhetens skyddsvärden för att motverka negativa konsekvenser såsom till exempel finansiella, ryktes- och legala risker.

Där säkerhetskänsliga verksamheter kan riskera viten på 10-tals miljoner, kan kommersiella verksamheter i stället se risker i uteblivna affärer och minskad omsättning i miljardklassen.

Det ena är inte viktigare än det andra, men visar på vad som är minst lika prioriterat – om inte mer – för större kommersiella bolag med verksamhet globalt och som möter samma typer av hot från antagonister som säkerhetskänsliga verksamheter.

Med det sagt kan ett verksamhetsskyddskoncept tillämpas om det tar inspiration av säkerhetsskyddsarbetet och grundar sig på en säkerhetsskyddsanalys, där resultatet överförs i en säkerhetsskyddsplan med åtgärder inom områdena/domänerna: fysisk säkerhet, personalsäkerhet och informationssäkerhet. På motsvarande sätt kan verksamhetsskyddsanalyser göras som leder till verksamhetsskyddsplaner inom samma åtgärdsområden.

Nå maximal effekt av dina åtgärder

Detta skapar en övergripande bild över verksamhetens skyddsvärden och gedigna beslutsunderlag för att på mest effektiva sätt nyttja budget och resurser för att implementera och förvalta skyddsåtgärder. I detta identifieras behov av att genomföra åtgärder på mikronivå, såsom att genomföra klassning av information för enskilda system, processer eller informationsklassningsobjekt.

Nu berör jag ett övergripande ämne som zoomar ut från området informationssäkerhet men det jag märker i näringslivet är att det finns en hög efterfrågan på samordning och ledning av säkerhetsarbetet på makronivå – då behövs detta för att i slutändan nå efterfrågad effekt av åtgärder man genomför inom informationssäkerhet och som är i synk med åtgärder inom personalsäkerhet och fysisk säkerhet.

Om inte annat skapar det goda förutsättningar för att även få med människans roll i säkerhetsarbetet.

Läs gärna Alfreds tidigare artikel om vad en god säkerhetskultur är. 

alfred_hoff