I takt med digitaliseringen blir frågor kring informationssäkerhet allt viktigare, dels att skydda sig från intrång dels också att säkert hanterar egna informationstillgångar.

En kundservice hanterar stora mängder personuppgifter och information i den dagliga produktionen.  Nyckeln i informationssäkerhetsarbetet blir därför att säkerställa rutiner och process för manuellt arbete kopplat mot teknisk säkerhet i form av åtkomst, kryptering och lagring.

Här är 5 tips på hur du lyckas i ditt informationssäkerhetsarbete:

 

1. Definiera Syfte och mål

Ett informationssäkerhetsarbete ska vara förankrat i den egna organisationens förutsättningar. Att klart och tydligt definiera syfte och mål relaterat till affärsmål och strategi är extremt viktigt då ett informationssäkerhetsarbete berör alla i en organisation och där ägandeskap och engagemang i högsta ledningen är en förutsättning. En bra utgångspunkt är att definiera och dela in informationssäkerhetsarbetet i tre säkerhetsaspekter, att information ska vara:

  • Konfidentiell – Att information inte tillgängliggörs eller avslöjas till obehöriga
  • Tillgänglig – Att information ska kunna användas i förväntad utsträckning och inom önskad tid
  • Riktig – Att information är korrekt, aktuell och fullständig

Det ger en ökad gemensam förståelse för vad informationssäkerhet handlar om och vad som ska uppnås.

Ett andra steg kan med fördel vara att göra en förteckning över era informationstillgångar. Vad sparar vi, vart sparar vi det, hur länge behöver vi ha informationen, är någon information särskilt kritisk, vem är ansvarig för informationen? Det ger en bra överblick och en bra start för det fortsatta arbetet.

 

2. Prioritera administrativ säkerhet

Många gånger kan ett informationssäkerhetsarbete snabbt bli en fråga om teknisk säkerhet. Men, en stor del av arbetet är administrativt, speciellt i en kundservice med många medarbetare, komplexa informationsmängder och en IT-miljö med många programvaror och lagringsplatser. För kundservice är det dessutom avgörande att skydda informationstillgångar samtidigt som en kostnadseffektiv operativ verksamhet bibehålls.  

I det administrativa säkerhetsarbetet behövs väl utarbetade och förankrade policys, till exempel ”Clean Desk Policy”, Informationssäkerhetspolicy och rutiner för tillträde till lokaler. En stor del av det administrativa arbetet handlar om kontinuerlig kunskapsspridning och medvetandegörande. Detta arbete kan med fördel göras med hjälp av E-learning, dels för att minimera kostnad och tid för utbildning, dels för att kvalitetssäkra att medarbetare har rätt kunskap.

Ett informationssäkerhetsarbete är en kontinuerlig process som ställer stora krav på struktur, process, roller, behörigheter och dokumentation. För att effektivt hantera informationssäkerhetsfrågor är ett ledningssystem till stor hjälp. Att klart och tydligt definiera processer, kommunikation och dokumentation i ett ledningssystem effektiviserar för alla medarbetar, speciellt eftersom ”informationssäkerhetsfrågor ” blir som en extra arbetsuppgift för de flesta medarbetare.

För att öka medvetandegraden kan ett första steg vara att börja kommunicera kvartalsvisa interna nyhetsbrev till alla anställda där ni beskriver olika delar kring informationssäkerhet. Över tid blir det en bra källa till information för exempelvis nyanställda som skall sätta sig in i den administrativa delen av informationssäkerhet.

 

3. Rätt fokus i det tekniska säkerhetsarbetet

Informationssäkerhet kopplas vanligtvis ihop med teknisk säkerhet som kan innefatta fysisk säkerhet och IT-säkerhet. En del av IT-säkerhet handlar om datasäkerhet där frågor om åtkomst, kryptering, certifikat och lagring snabbt kan innebär betydande investeringar.

För att underlätta arbetet med att prioritera olika åtgärder och investeringar är ett tips att först göra en genomgång och klassa informationstillgångar i olika skyddsnivåer. För att klassa informationstillgångar finns bra stöd i klassningsmodellen: Modell för klassificering av information, Version 1.0, 2009-05-25 utgiven av MSB (Myndigheten för Samhällsskydd och Beredskap, Publ.nr MSB 0040-09). Modellen ger ett bra stöd för att dela in informationstillgångar i olika skyddsnivåer, något som i sin tur kan ligga till grund för prioritering av olika säkerhetsåtgärder/investeringar.

Med hjälp av rutiner och automatiserade processer, till exempel radering av information och spärra konton, går det i många fall uppnå informationssäkerhetsmål i befintliga miljöer. Om automatisering är komplicerat så finns möjligheten att schemalägga ”notiser/tickets” till ansvariga som skall utföra en viss åtgärd vid ett visst intervall.

 

4. Effektiv riskhantering

Ett informationssäkerhetsarbete görs både proaktivt och reaktivt.  Ett exempel är riskhantering, vad gör vi proaktivt för att en risk inte skall inträffa och vilken handlingsplan har vi när något inträffar?

Kärnan i effektiv riskhantering är att göra en riskvärdering. En riskvärdering innebär att identifiera olika hot och för varje hot värdera:

  • hur ofta ett hot bedöms förekomma – hur sannolik hotet är.
  • vilka konsekvenser/effekt hotet har för verksamheten om den leder till påverkan på trovärdighet, ekonomi, laguppfyllnad och människors hälsa.
  • vilken betydelse ett hot har i förhållande till andra hot – rangordning mellan hoten.

Grundprincipen för riskvärdering är att med hjälp av en 1–10 skala värderar sannolikheten att ett hot skall inträffa och vilken konsekvens ett visst hot får. Resultat blir en riskmatris som i sin tur kan användas för att prioritera olika säkerhetsåtgärder.

I riskvärderingsarbetet är det klokt att vara lite ”nojig”, skriv ner alla möjliga risker och konsekvenser, stora som små. När du har värderat alla risker, fokusera på de som har hög sannolikhet eller de som innebär stor skada/konsekvens för er om de inträffar. Ta hjälp av rutiner, information eller teknik för att minimera sannolikheten eller konsekvensen för dessa risker.

 

5. Tydlighet i organisation, ansvar och befogenheter

Informationssäkerhetsarbete involverar alla i en verksamhet och där ansvar och befogenheter behöver vara tydligt kommunicerade. Att fokusera på informationssäkerhetsfrågor är för många verksamheter något nytt och som för all förändring krävs extra tydlighet och ansvar för att nya processer, rutiner och policys verkligen omsätts i praktiken.

Ett sätt att få hjälp med sitt informationssäkerhetsarbete är en ISO 27001 certifiering. ISO 27001 är en standard för ledningssystem för informationssäkerhet som ger vägledning för arbetsprocesser, dokumentation, riskhantering och prioriteringar.  

Ett sätt att skapa medvetenhet är att sätta upp en stående mötespunkt ”Informationssäkerhet” på interna möten som till exempel ledningsmöten, teammöten och personalmöten. Det visar att frågan är viktig, samtidigt som det löpande på flera ställen i organisationen pratas om informationssäkerhet. Det blir då, över tid, en naturlig del i verksamheten.

Magnus Larsson / CIO och Informationssäkerhetsansvarig

 

Vill du få nöjdare kunder och veta mer om våra tjänster?

Fyll i dina uppgifter så berättar vi mer.