Digitaliseringen gör att informationssäkerhet är ett område som blir allt viktigare. Med allt fler enheter anslutna till Internet ökar de möjliga attackvägarna in till den egna IT-infrastrukturen och alla bolag och myndigheter behöver säkerställa att de gör vad de kan för att undvika en attack. Ett strukturerat arbetssätt med informations-säkerhet är därför något som måste finnas på plats.
Men hur går du tillväga för att säkra ledningens engagemang så att arbetet med informationssäkerhet prioriteras? Här några saker du bör ha med dig vid en presentation för ledningen.
Analysera riskerna
För att kunna göra rätt prioriteringar i säkerhetsarbetet behövs en riskanalys – en säkerhetsskyddsanalys. Där fastställs vilka som är verksamhetens skyddsvärden, vilka konsekvenser som kan uppstå om dessa skyddsvärden blir attackerade, vad som är hotet och vilka sårbarheter som finns. Baserat på detta kan man sedan föreslå lämpliga skyddsåtgärder. Genom att ställa dig ett antal frågor kan du få fram ett underlag till en säkerhets-skyddsanalys som gör att du kan vara väldigt konkret när du presenterar för ledningen.
Förklara konsekvenserna
Givetvis måste du berätta konsekvenserna som kan ske om ni som bolag inte jobbar med informationssäkerheten. Det finns flera kända fall av ransomeware attacker, såsom Maersk caset och Baltimore i USA som kan nämnas. Men ta gärna med mer närliggande exempel utifrån din analys. Om du tex upptäckt att ni har brister i mjukvaruppdateringarna så är det mer kommunikativt och övertygande att säga att ”en hacker kan kopiera hela lönelistan och lägga ut den på internet” än att prata om att ett flertal säkerhetsuppdateringar behöver göras.
Investeringen mindre än alternativkostnaden
Ett motargument du kan få är: ”Men kostar det inte en hel del att införa ett strukturerat arbetssätt med informationssäkerhet?” Detta är något du snabbt kan svara på genom att förklara att alternativkostnaden vid en attack oftast är så mycket högre än investeringen som behövs. Med ett ständigt ökande antalet attacker är risken för att drabbas förhållandevis hög. Att INTE investera i sin informationssäkerhet innebär därför egentligen att man som företag, och ledning, tar en oerhört stor finansiell risk. Vill ledningen verkligen ta den risken?
Lyft fram fördelarna – och säkra ledningens engagemang för informationssäkerhet
Det är bra om ledningen förknippar informationssäkerhet med något positivt och att det inte är så komplicerat. Därför är det viktigt att du avslutar argumentationen med att förklara att ett systematiskt informationssäkerhetsarbete gör att ni kan undvika negativ publicitet, informationsläckage, driftstopp – helt enkelt undvika flera risker att förlora affärer. En annan positiv effekt av strukturerat informationssäkerhetsarbete är att medarbetarna får tillgång till rätt information vid rätt tidpunkt vilket ofta innebär att effektiviteten kan höjas. Genom att betona dessa och andra fördelar med ett strukturerat informationssäkerhetsarbete blir det enklare att säkra ledningens engagemang. Vill du läsa mer om detta så har MSB en bra guide på sin hemsida!
Behöver du hjälp med att genomföra en säkerhetsskyddsanalys kan du ladda ned Advenica’s guide till det här!
Behöver du mer hjälp med analysen är du välkommen att höra av dig till oss på Advenica!