Vikten av informationssäkerhet
Information är en grundläggande byggsten i en organisation, på samma sätt som medarbetare, lokaler och utrustning. Vi kan kommunicera information, vi kan lagra den, vi kan förädla den och vi kan styra processer med den – vi behöver den helt enkelt för det mesta vi gör.
Information kan vara värdefull både för organisationer och för den enskilda människan – ibland är den till och med livsviktig. Blir sådan information förlorad eller felaktig kan det få katastrofala följder.
Vi behöver skydda vår information, så:
- att den alltid finns när vi behöver den (tillgänglighet)
- att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (integritet)
- att endast behöriga personer får ta del av den (konfidentialitet)
Det ökande beroendet av informationsteknik innebär ökade risker – det sker en tydlig ökning av incidenter såsom dataintrång, bedrägerier och spridning av skadlig kod. Bakomliggande aktörer utgörs av enskilda individer, men också i form av organiserad brottslighet, terrorister och statsmakter. Därav måste fler jobba mer med informationssäkerhet för att se till att viktig information är säker.
Varför måste vi kunna lita på digital information?
Det finns många anledningar till och situationer där vi måste kunna lita på digital information.
Exempelvis är det av stor vikt att kunna lita på den digitala information som förekommer internt på ett företag. Bland annat är det viktigt inom kritisk infrastruktur och företag som arbetar med OT-system att viktig systeminformation går att lita på då brister i informationssystem också kan påverka fysiska tillgångar. Incidenter som leder till stor påverkan av sådana system och tillgångar kan leda till allvarliga kriser som drabbar allmänhetens hälsa, den nationella säkerheten eller kombinationer av dessa. I en sådan organisation är det därav livsviktigt att kunna lita på information.
Läs mer om säkerhet för kritisk infrastruktur!
Någonting som är viktigt för de flesta organisationer är förtroende. Förtroende är någonting som tar lång tid att bygga upp, men kan raseras på nolltid. Därför är det viktigt att den information som lämnar en organisation och når externa parter, exempelvis medborgare i en stad, stämmer och går att lita på. Skulle säkerheten brista och ett intrång sker där information läcks, förvanskas eller förstörs kan ett långt uppbyggande av förtroende raseras på kort tid. För vissa organisationer, så som myndigheter och offentlig sektor, är detta förtroende väldigt viktigt då de styr många samhällsviktiga verksamheter. När det gäller information från denna typ av organisationer är det minst lika viktigt för mottagaren av informationen att man kan lita på den eftersom den kommer från organisationer som styr viktiga funktioner i våra liv.
Läs mer om säkerhet för offentlig sektor!
Hur ser man till att den digitala informationen är säker?
Det är av största vikt att alla organisationer gör sitt yttersta för att skydda sin information – och speciellt information som är samhällsviktig. Det är dock inte alltid så lätt att veta var man ska börja. Därför kommer här åtta råd som ser till att du kommer i gång på rätt sätt.
1. Inse att informationssäkerhet innebär mer än teknik
Idag hanteras mycket information i IT-system, vilket ofta medför att informationssäkerhet likställs med IT-säkerhet. Men, människor och processer måste också inkluderas och alla delar är lika viktiga för att lyckas. För att skapa ett hållbart skydd krävs systematiskt och kontinuerligt arbete utifrån tillgångar, hot och risker.
2. Informationssäkerhetsarbetet bör kopplas till organisationens riskhantering
Allt säkerhetsarbete bör bottna i hur organisationen hanterar risker i den miljö där organisationen lever och verkar. Informationssäkerhetsrelaterade risker ska behandlas likadant som övriga risker.
3. Säkerställ att ledningen tar ansvar för informationssäkerheten
Ansvaret för säkerhetsarbetet måste alltid ligga hos ledningen, eftersom endast ledningen kan ta ett beslut att inte göra något åt säkerhetsriskerna. Med tanke på hur cyberattackerna ökar innebär ett beslut att inte investera i informationssäkerhet att man som verksamhet och ledning tar en oerhört stor finansiell risk.
4. Se över rutiner och processer
Informationssäkerhet omfattar hela organisationens verksamhet och all information oavsett om den finns i datorer eller på papper. Börja kartlägga processer och rutiner, vem som har tillgång till vilken information och vilka system, samt nivån på dagens säkerhetstänk.
5. Säkerställ rätt resurser
Informationssäkerhetsarbetet måste bedrivas systematiskt och kontinuerligt för att säkerställa en tillräcklig nivå av informationssäkerhet i organisationen. För framgångsrikt informationssäkerhetsarbete bör du säkerställa både ledningens engagemang och rätt resurser.
6. Inled informationssäkerhetsarbetet med en analys
Systematiskt informationssäkerhetsarbete måste alltid anpassas efter en organisations specifika omständigheter. Att börja med att analysera både omvärlden och den egna verksamheten rekommenderas. Baserat på resultatet kan beslut tas om vilka säkerhetsåtgärder som måste implementeras.
7. Utveckla en säkerhetspolicy (denna hjälper dig att upprätthålla informationssäkerhet)
Styrdokument såsom en säkerhetspolicy är det formella ramverket för organisationens informationssäkerhetsarbete. Dessa bör specifikt ange vad som ska vara tillgängligt, vilka åtgärder som ska vidtas och hur arbetet ska gå till.
8. Ta hjälp av de som kan informationssäkerhet
Att komma i gång med ett systematiskt informationssäkerhetsarbete är ett stort projekt som kan kännas lite övermäktigt att driva helt själv. Har du möjlighet så ta hjälp av de som kan allt om informationssäkerhet.
Vill du veta mer om informationssäkerhet?
Behöver du hjälp att stärka din informationssäkerhet? Tveka inte att kontakta oss!