Digitaliseringen gör att alltmer data samlas in, hanteras och återanvänds. Det skapar en komplex hantering. Även antalet system, verktyg och kanaler ökar i takt med den digitala automatiseringen. Paradoxalt nog blir följden ökad manuell hantering!

Resultat blir ökad digital affärsrisk i tre aspekter:

  • Att bli utsatt för digitala bedrägerier, kapning och intrångsförsök
  • En hämmad utvecklingsförmåga på grund av begränsningar i att återvinna affärskritisk data
  • Ett sargat varumärke på grund av läckt data och personuppgifter

För att minimera risken behövs ett strukturerat informationssäkerhetsarbete, dels för att data ska hanteras och lagras på ett strukturerat och återvinningsbart sätt, dels för att skydda data och informationstillgångar.

En kundservice kan ofta vara den enskilt största källan till kunddata och personuppgifter vilket gör informationssäkerhetsarbetet extra kritiskt. En kundservice innehåller också en komplex struktur av manuella arbetsprocesser och automatiseringar. Så för att framgångsrikt arbeta med informationssäkerhet är det viktigt att: 

 

1. Definiera Syfte och mål

Ett informationssäkerhetsarbete ska vara förankrat i den egna organisationens förutsättningar. Att klart och tydligt definiera syfte och mål relaterat till affärsmål och strategi är extremt viktigt. Informationssäkerhet berör alla i en organisation, ägandeskap och engagemang i högsta ledningen är en förutsättning. En bra utgångspunkt är att definiera och dela in informationen i tre säkerhetsaspekter:

  • Konfidentiell – Att information inte tillgängliggöras eller avslöjas till obehöriga
  • Tillgänglig – Att information ska kunna användas i förväntad utsträckning och inom önskad tid
  • Riktig – Att information är korrekt, aktuell och fullständig

Det ger en ökad gemensam förståelse för vad informationssäkerhet handlar om och vad som ska uppnås.

Ett andra steg kan med fördel vara att göra en förteckning över era informationstillgångar. Vad sparar vi, var sparar vi det, hur länge behöver vi ha informationen, är någon information särskilt kritisk, vem är ansvarig för informationen? Det ger en bra överblick och en bra start för det fortsatta arbetet.

 

2. Prioritera administrativ säkerhet

Många gånger kan ett informationssäkerhetsarbete snabbt bli en fråga om teknisk säkerhet. Men en stor del av arbetet är administrativt, speciellt i en kundservice med många medarbetare, komplexa informationsmängder och en IT-miljö med många programvaror och lagringsplatser. För kundservice är det dessutom avgörande att skydda informationstillgångarna samtidigt som en kostnadseffektiv operativ verksamhet bibehålls.

I det administrativa säkerhetsarbetet behövs väl utarbetade och förankrade policys, till exempel ”Clean Desk Policy”, Informationssäkerhetspolicy och rutiner för tillträde till lokaler. En stor del av det administrativa arbetet handlar om kontinuerlig kunskapsspridning och medvetandegörande. Detta arbete kan med fördel göras med hjälp av E-learning, dels för att minimera kostnad och tid för utbildning, dels för att kvalitetssäkra att medarbetare har rätt kunskap.

Ett informationssäkerhetsarbete är en kontinuerlig process som ställer stora krav på struktur, process, roller, behörigheter och dokumentation. För att effektivt hantera informationssäkerhetsfrågor är ett ledningssystem till stor hjälp. Att klart och tydligt definiera processer, kommunikation och dokumentation i ett ledningssystem effektiviserar för alla medarbetare. Speciellt eftersom ”informationssäkerhetsfrågor” kan bli en extra arbetsuppgift för de flesta medarbetare.

För att öka medvetandegraden kan ett första steg vara att börja kommunicera via kvartalsvisa interna nyhetsbrev till alla anställda. Där beskriver ni informationssäkerhetsarbetets olika delar. Över tid blir det en bra källa till information för exempelvis nyanställda, som även behöver sätta sig in i den administrativa delen av informationssäkerhetsarbetet.

 

3. Rätt fokus i det tekniska säkerhetsarbetet

Informationssäkerhet kopplas vanligtvis ihop med teknisk säkerhet som kan innefatta fysisk säkerhet och IT-säkerhet. En del av IT-säkerhet handlar om datasäkerhet där frågor om åtkomst, kryptering, certifikat och lagring snabbt kan innebär betydande investeringar.

För att underlätta arbetet med att prioritera olika åtgärder och investeringar är ett tips att först göra en genomgång och klassa alla informationstillgångar i olika skyddsnivåer. För att klassa informationstillgångar finns bra stöd i klassningsmodellen: Modell för klassificering av information, Version 1.0, 2009-05-25 utgiven av MSB (Myndigheten för Samhällsskydd och Beredskap, Publ.nr MSB 0040-09). Modellen ger ett bra stöd för att dela in informationstillgångar i olika skyddsnivåer, något som i sin tur kan ligga till grund för prioritering av olika säkerhetsåtgärder/investeringar.

Med hjälp av rutiner och automatiserade processer, till exempel radering av information och spärra konton, går det i många fall att uppnå informationssäkerhetsmål i befintliga miljöer. Om automatisering är komplicerat så finns möjligheten att schemalägga ”notiser/tickets” till ansvariga som skall utföra en viss åtgärd vid ett visst intervall.

 

4. Effektiv riskhantering

Ett informationssäkerhetsarbete görs både proaktivt och reaktivt. Ett exempel är riskhantering. Vad gör vi proaktivt för att en risk inte skall inträffa och vilken handlingsplan har vi när något inträffar?

Kärnan i effektiv riskhantering är att göra en riskvärdering. En riskvärdering innebär att identifiera olika hot och för varje hot värdera:

  • hur ofta ett hot bedöms förekomma – hur sannolik hotet är.
  • vilka konsekvenser/effekt hotet har för verksamheten om den leder till påverkan på trovärdighet, ekonomi, laguppfyllnad och människors hälsa.
  • vilken betydelse har ett hot i förhållande till andra hot – rangordning mellan hoten.

Grundprincipen för riskvärdering är att med hjälp av en 1–10 skala värderar sannolikheten att ett hot skall inträffa och vilken konsekvens ett visst hot får. Resultat blir en riskmatris som i sin tur kan användas för att prioritera olika säkerhetsåtgärder.

I riskvärderingsarbetet är det klokt att vara lite ”nojig”, Skriv ner alla möjliga risker och konsekvenser, stora som små. När du har värderat alla risker, fokusera på de som har hög sannolikhet eller de som innebär stor skada/konsekvens för er verksamhet om de inträffar. Ta hjälp av rutiner, information eller teknik för att minimera sannolikheten för dessa risker och konsekvenserna om de inträffar.

 

5. Tydlighet i organisation, ansvar och befogenheter

Informationssäkerhetsarbetet involverar alla i en verksamhet, ansvar och befogenheter behöver vara tydligt kommunicerade. Att fokusera på informationssäkerhetsfrågor är för många verksamheter något nytt och som vid alla förändringar krävs extra tydlighet och ansvar för att nya processer, rutiner och policys verkligen omsätts i praktiken.

Ett sätt att få hjälp med sitt informationssäkerhetsarbete är en ISO 27001 certifiering. ISO 27001 är en standard för ledningssystem för informationssäkerhet som ger vägledning för arbetsprocesser, dokumentation, riskhantering och prioriteringar.

Ett sätt för att skapa medvetenhet är att sätta upp en stående mötespunkt ”Informationssäkerhet” på interna möten som till exempel ledningsmöten, teammöten och personalmöten. Det visar att frågan är viktig och gör det lättare att löpande prata om informationssäkerhet i organisationen. Det blir då, över tid, en naturlig del i verksamheten.

Magnus Larsson / CIO och Informationssäkerhetsansvarig

 

Vill du få nöjdare kunder och veta mer om våra tjänster?
Fyll i dina uppgifter så berättar vi mer.