Digitaliseringen pågår inom alla branscher. Drivkrafterna varierar men handlar ofta om effektivisering av arbetsflöden, att möta förväntningarna på tillgänglighet och att skapa nya intäktsmöjligheter. Dessutom uppträder nya utmaningar när olika system ska kommunicera med varandra.
Digitaliseringen går fort framåt
Inom olika industrier har den digitala utvecklingen olika namn men grundar sig i princip alltid på att bättre utnyttja informationsteknologi i fler steg av den kommersiella såväl som av den operativa verksamheten. En av digitaliseringens följder är nya och förändrade behov av säkerhet när det gäller information och teknik. Dessutom uppträder nya utmaningar när olika system ska kommunicera med varandra.
Tekniskt sett finns det inga hinder. Med en teknikutveckling som introducerar Big Data, Internet of Things och API-lösningar skapas förutsättningar att hitta innovativa lösningar. Allt blir uppkopplat och all information kan lagras, bearbetas och skapa ett mervärde. Så hur gör man för att uppnå säker digitalisering?
Med ökad frihet följer digitalt ansvar
Digitaliseringen ger beslutsfattare och ledningsgrupper en ökad frihet då deras organisationer får förutsättningar att vara kreativa och ges möjlighet att vara en del av tranformeringsekonomin och bli disruptiva i den omfattning som är önskat och beslutat.
Med denna frihet följer ett ansvar. Ansvaret innebär att säkerställa att informationsflöden, som är en förutsättning för digitaliseringen, hanteras utan att det skapas risker för externa och interna cyberattacker av olika slag.
Arbeta med assurans
Vad innebär hög assurans? Tittar man på synonymer.se ser man att assurans kan betyda ’försäkring’, i betydelsen ’att man har försäkrat sig om något’. Advenica använder följande definition:
“Assurans inom säkerhet innebär graden av tillförsikt i att en produkt eller ett system korrekt utför sina kravställda säkerhetsfunktioner och att de inte kan kringgås”
Assurans är inte heller någon absolut egenskap men det för diskussionen över till något som man aktivt kan agera på. D.v.s. vilka aktiviteter och metoder har använts för att öka sannolikheten att säkerhetsprodukten faktiskt beter sig säkert? Det kan röra sig om metoder för definition av säkerhetskrav, val av arkitektur, designval och kvalitetssäkringsmetoder.
På senare tid har det också visat sig viktigt att se bortom designen och fundera på riskerna vid produktionen av säkerhetsprodukten. Förutom aktiviteter under utveckling och produktion behöver assuransen upprätthållas efter att en säkerhetsprodukt har distribuerats. Som respekterat säkerhetsföretag ingår det därför även att man omvärldsbevakar och informerar sina kunder ifall säkerheten, eller assuransen, påverkas i de levererade lösningarna när man hittar svagheter eller när teknik utvecklas.
Digitaliseringsstrategin – en del av Sveriges väg mot säker digitalisering
Regeringen i Sverige för en digitaliseringspolitik där visionen är ett hållbart digitaliserat Sverige. Digitaliseringsstrategin anger inriktningen för denna politik, och det övergripande målet är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att nå det övergripande målet innehåller strategin fem delmål om digital kompetens, digital trygghet, digital innovation, digital ledning och digital infrastruktur. Digital trygghet handlar om att företag och organisationer behöver öka kompetensen om informations- och cybersäkerhet och att det behöver ses som en strategisk verksamhetsfråga.
“Bristande informationssäkerhetskompetens är en faktor som många organisationer brottas med. Informationssäkerhetsarbetet måste synliggöras i större utsträckning, få högre strategisk vikt och vävas in i verksamheters befintliga lednings- och ekonomistyrningssystem”
citat från Digitalseringsrådet
Höga krav på säkerhet är ett av underområdena för att uppnå digitaliseringsstrategin. Här ingår t.ex. den nya säkerhetsskyddslagen, införandet av NIS direktivet och uppbyggnaden av det nationella cybersäkerhetscentret. Läs mer här!
Läs mer om Säkerhetsskyddslagen och om NIS direktivet!
Hur börjar man jobba med informationssäkerhet?
För att höja beredskapen finns nu nya lagar. Dessa ställer krav på aktörer som levererar samhällsviktiga tjänster att höja informationssäkerheten. Det är dock inte alltid så lätt att veta var man ska börja. Därför kommer här åtta råd som ser till att du kommer i gång på rätt sätt.
Inse att informationssäkerhet innebär mer än teknik
Idag hanteras mycket information i IT-system, vilket ofta medför att informationssäkerhet likställs med IT-säkerhet. Men, människor och processer måste också inkluderas, och alla delar är lika viktiga för att lyckas. För att skapa ett hållbart skydd krävs systematiskt och kontinuerligt arbete utifrån tillgångar, hot och risker.
Informationssäkerhetsarbetet bör kopplas till organisationens riskhantering
Allt säkerhetsarbete bör bottna i hur organisationen hanterar risker i den miljö där organisationen lever och verkar. Informationssäkerhetsrelaterade risker ska behandlas likadant som övriga risker.
Säkerställ att ledningen tar ansvar för informationssäkerheten
Ansvaret för säkerhetsarbetet måste alltid ligga hos ledningen, eftersom endast ledningen kan ta ett beslut att inte göra något åt säkerhetsriskerna. Med tanke på hur cyberattackerna ökar innebär ett beslut att inte investera i informationssäkerhet att man som verksamhet och ledning tar en oerhört stor finansiell risk.
Se över rutiner och processer
Informationssäkerhet omfattar hela organisationens verksamhet och all information oavsett om den finns i datorer eller på papper. Börja kartlägga processer och rutiner, vem som har tillgång till vilken information och vilka system samt nivån på dagens säkerhetstänk.
Säkerställ rätt resurser
Informationssäkerhetsarbetet måste bedrivas systematiskt och kontinuerligt för att säkerställa en tillräcklig nivå av informationssäkerhet i organisationen. För framgångsrikt informationssäkerhetsarbete bör du säkerställa både ledningens engagemang och rätt resurser.
Inled informationssäkerhetsarbetet med en analys
Systematiskt informationssäkerhetsarbete måste alltid anpassas efter en organisations specifika omständigheter. Att börja med att analysera både omvärlden och den egna verksamheten rekommenderas. Baserat på resultatet kan beslut tas om vilka säkerhetsåtgärder som måste implementeras.
Utveckla en säkerhetspolicy (denna hjälper dig att upprätthålla informationssäkerhet)
Styrdokument såsom en säkerhetspolicy är det formella ramverket för organisationens informationssäkerhetsarbete. Dessa bör specifikt ange vad som ska vara tillgängligt, vilka åtgärder som ska vidtas och hur arbetet ska gå till.
Ta hjälp av dem som kan informationssäkerhet
Att komma i gång med ett systematiskt informationssäkerhetsarbete är ett stort projekt som kan kännas lite övermäktigt att driva helt själv. Har du möjlighet så ta hjälp av dem som kan allt om informationssäkerhet.
Läs mer om informationssäkerhet!
Säkra ledningens engagemang
Med allt fler enheter anslutna till Internet ökar de möjliga attackvägarna in till den egna IT-infrastrukturen och alla bolag och myndigheter behöver säkerställa att de gör vad de kan för att undvika en attack. Ett strukturerat arbetssätt med informations-säkerhet är därför något som måste finnas på plats. Men hur går du till väga för att säkra ledningens engagemang så att arbetet med informationssäkerhet prioriteras? Här några saker du bör ha med dig vid en presentation för ledningen.
Analysera riskerna
För att kunna göra rätt prioriteringar i säkerhetsarbetet behövs en riskanalys – en säkerhetsskyddsanalys. Där fastställs vilka som är verksamhetens skyddsvärden, vilka konsekvenser som kan uppstå om dessa skyddsvärden blir attackerade, vad som är hotet och vilka sårbarheter som finns. Baserat på detta kan man sedan föreslå lämpliga skyddsåtgärder. Genom att ställa dig ett antal frågor kan du få fram ett underlag till en säkerhetsskyddsanalys som gör att du kan vara väldigt konkret när du presenterar för ledningen.
Förklara konsekvenserna
Givetvis måste du berätta konsekvenserna som kan ske om ni som bolag inte jobbar med informationssäkerheten. Det finns flera kända fall av ransomewareattacker, såsom Maersk caset och Baltimore i USA som kan nämnas. Men ta gärna med mer närliggande exempel utifrån din analys. Om du tex upptäckt att ni har brister i mjukvaruppdateringarna så är det mer kommunikativt och övertygande att säga att ”en hacker kan kopiera hela lönelistan och lägga ut den på internet” än att prata om att ett flertal säkerhetsuppdateringar behöver göras.
Investeringen mindre än alternativkostnaden
Ett motargument du kan få är: ”Men kostar det inte en hel del att införa ett strukturerat arbetssätt med informationssäkerhet?” Detta är något du snabbt kan svara på genom att förklara att alternativkostnaden vid en attack oftast är så mycket högre än investeringen som behövs. Med ett ständigt ökande antalet attacker är risken för att drabbas förhållandevis hög. Att INTE investera i sin informationssäkerhet innebär därför egentligen att man som företag, och ledning, tar en oerhört stor finansiell risk. Vill ledningen verkligen ta den risken?
Lyft fram fördelarna – och säkra ledningens engagemang för informationssäkerhet
Det är bra om ledningen förknippar informationssäkerhet med något positivt och att det inte är så komplicerat. Därför är det viktigt att du avslutar argumentationen med att förklara att ett systematiskt informationssäkerhetsarbete gör att ni kan undvika negativ publicitet, informationsläckage, driftstopp – helt enkelt undvika flera risker att förlora affärer. En annan positiv effekt av strukturerat informationssäkerhetsarbete är att medarbetarna får tillgång till rätt information vid rätt tidpunkt vilket ofta innebär att effektiviteten kan höjas. Genom att betona dessa och andra fördelar med ett strukturerat informationssäkerhetsarbete blir det enklare att säkra ledningens engagemang.
Säkerhetskultur – en viktig del av det digitala ansvaret
Säkerhet är idag inte bara en teknisk utmaning utan även en mänsklig utmaning – en fråga om säkerhetskultur. Kriminella utnyttjar inte alltid enbart tekniska brister utan förlitar sig ofta på människor för att komma åt känsliga uppgifter och det är därför den mänskliga faktorn ofta är orsaken till de mest allvarliga säkerhetsintrången. Att bygga och underhålla en stark säkerhetskultur är därför en oerhört viktig del i arbetet med informationssäkerhet.
I en bra säkerhetskultur är alla medvetna om riskerna och har både kunskap och vilja att genom sitt agerande bidra till att minska riskerna. Säkerhetstänkandet är en självklar del av verksamheten. Säkerhetskulturen har med andra ord en stor betydelse för hur man arbetar, prioriterar och på olika sätt skapar förutsättningar för medarbetarna att arbeta på ett säkert sätt. Ytterligare en sak som kännetecknar en god säkerhetskultur på en arbetsplats är att ledningen prioriterar och hanterar säkerhetsfrågor på alla nivåer i verksamheten och att de är en del av kulturen.
Läs mer om säkerhetskultur i vårt blogginlägg!
Uppnå säker digitalisering med hjälp av allowlisting
Att ta ett digitalt ansvar handlar om att samtidigt både digitalisera och bygga robusthet i vårt samhälle. Genom att styra sina informationsflöden kan man uppnå säker digitalisering. Det handlar om att digitalt kunna skilja på behöriga och obehöriga. Genom att identifiera användaren och sedan länka samman användaren med någon form av rättighet eller möjlighet uppnår man en ändamålsenlig säkerhet.
Tankesättet att skilja på behörig och obehörig kallas allowlisting respektive blocklisting. Att blocklista innebär att man har en lista eller specifikation på det obehöriga. Det kan vara en lista med namn på personer som inte tillåts flyga, ett förbud mot att ta med vapen genom en säkerhetskontroll eller en lista med kända datavirus som antivirusprogrammet skall leta efter. Allowlisting å andra sidan innebär att rätt nyckel krävs för att kunna öppna en dörr eller att rätt lösenord alternativt pinkod krävs för att låsa upp datorn.
Genom allowlisting av informationsflöden kan man höja skyddet för kritisk infrastruktur utan att ge avkall på digitaliseringens möjligheter.
Läs mer om hur allowlisting fungerar i vårt White Paper Säker digitalisering med hjälp av allowlisting.
Så här går ett cybersäkerhetsprojekt hos oss till
När vi startat ett cybersäkerhetsprojekt tillsammans med våra kunder är det oftast följande steg som projektet behöver gå igenom:
Förstudie
Design
Anpassning
Genomförande
Läs mer om hur vi kan hjälpa er med era säkerhetsutmaningar!