Informationssäkerhet är mer än bara konfidentialitet

Ett seriöst informationssäkerhetsarbete har som centralt syfte att säkerställa att risk- och hotbild kartläggs och hanteras i balans med organisationens riskaptit och det skyddsvärde varje tillgång tillskrivs. För att lyckas med sitt informationsarbete krävs det att det finns en balans mellan de tre klassiska dimensionerna konfidentialitet, riktighet och tillgänglighet, vilket i praktiken innebär att tillgångar förses med olika typer av skyddsåtgärder som ligger i linje med den kravbild som finns. Kravbilden i sin tur uppstår i enlighet med berörd lagstiftning, riskbedömning och andra faktorer som motiverar olika typer av skyddsåtgärder.

Informationssäkerhet kan ge konkurrensfördelar

Informationssäkerhet handlar om att säkerställa att rätt parter får tillgång till korrekt information när den behövs. Men det handlar även om att motverka motsatsförhållanden till detta, exempelvis att se till att information inte förvanskas eller hamnar i orätta händer. Här behöver man beakta på vilket sätt digitaliserad information kan skalas upp när något går fel; man kan exempelvis jämföra hur snabbt det går att sprida digital information kontra information som enbart använder fysiska bärare.

Utmaningarna är inte nya och unika för digital information, men den praktiska tillämpningen behöver anpassas då vi allt mer övergår till att hantera affärskritisk data digitalt. Ofta finns det inga universella svar på vad som är rätt och fel, exempelvis på den ofta uppkommande frågan om information kan lagras i molntjänst eller inte. Varje organisation måste se till sina egna tillgångar och den kravbild man ska bemöta och agera utifrån det.

För många ses informationssäkerhet som en kostnad som tas för att minska riskerna i verksamheten. Det är inte fel men ett seriöst informationssäkerhetsarbete kan också exempelvis vara ett sätt att öka sin egen konkurrenskraftighet gentemot exempelvis konkurrenter och marknadssegment. Ett seriöst informationssäkerhetsarbete ska genomsyra hela verksamheten och inte vara en isolerad företeelse där enskilda anses kunna sköta ”det där med säkerhet”. Det behöver också finnas ett ledarskap och  en kultur som medvetandegör och respekterar organisationens tillgångar och där man inte ser olika typer av säkerhetsrelaterade frågor som isolerade företeelser som bäst löses genom att blunda för resten av organisationen och dess tillgångar. Eftersom den digitala ekonomin bygger på förtroende bidrar ett välfungerande, och transparent, informationssäkerhetsarbete till att kundernas förtroende för verksamheten ökar. Det i sin tur ökar sannolikheten för nya affärer och att befintliga kunder stannar.

Vilken information är värd att skydda?

Med stora mängder information att hantera kan det vara svårt att avgöra vilken information som behöver skyddas och hur den ska skyddas. Att avgöra vilken information som faktiskt är skyddsvärd och utifrån vilka aspekter är en nyckelfaktor. Verksamheten behöver ta ställning till vilka som ska få ta del av informationen, hur viktigt det är att informationen är korrekt och vilka krav det finns på tillgänglighet. Vad händer om företagets affärshemligheter läcker ut? Hur säkerställer man att säkerhetsskyddsklassade tillgångar faktiskt hanteras på ett sätt som gör att de inte blir en vektor för att orsaka vårt land och samhälle skador? Frågor som dessa ska ställas i förväg och inte när det redan är för sent.

Frågorna har inte givna svar utan kommer att variera mellan olika organisationer och över tid. Ett seriöst informationssäkerhetsarbete är en ständigt pågående process som varje organisation ständigt behöver arbeta med och anpassa i linje med de förändringar som sker över tid. Den som tror något annat lär förr eller senare bli besviken. Samtidigt finns det många fina exempel på de som genom hårt och uthålligt arbete varje dag gör skillnad på riktigt och där informationssäkerhet får det utrymme som krävs för att uppnå de mål och behov som organisationen i fråga har.

Människor är den viktigaste tillgången

Utvecklingen mot digital informationshantering är nödvändig för att kunna effektivera processer och hantering av stora mängder information, samtidigt som det innebär utmaningar i att både skydda värdefull information mot obehöriga och samtidigt hålla information tillgänglig för de som behöver den. Medan utvecklingen går mot mer och mer automatiserad digital informationshantering, där säkerhetslösningar skulle kunna byggas in redan i designfasen, så är många system allt jämt beroende av mänsklig interaktion för att nå full funktionalitet och hålla säkerhetskedjan intakt. Att räkna in den mänskliga faktorn i säkerhetsarbetet är därmed av yttersta vikt för ett heltäckande informationssäkerhetsarbete.

Trots att det är väl känt att människan är en central del av informationssäkerhetsarbetet och att social manipulation är ett reellt säkerhetshot,  får de mänskliga aspekterna ofta lite fokus i utformningen av säkerhetsarbetet. Det finns inga tekniska säkerhetslösningar som förhindrar misstag från anställda med brist på utbildning och medvetenhet. En nyckel till att uppnå god informationssäkerhet är därför att satsa på de anställda. Alla anställda bör få utbildning i syfte att höja medvetande och förståelse som är anpassad till de uppgifter de arbetar med. Och alla anställda bör ges möjlighet att förstå den riskbild som de och deras arbetsgivare arbetar i. På så sätt ges förutsättningar att drastiskt minska risken att falla offer för några av de vanligaste bedrägeriförsöken riktade mot anställda, exempelvis phishing, förfalskad e-post, obehöriga som tar sig in på företag genom att uppträda som behörig personal och flera andra typer av vanligt förekommande företeelser.

Glöms faktorer bort bara för att något bedöms som extra viktigt?

I samband med dataskyddsförordningens intåg kom skydd av personuppgifter upp på agendan hos både privat näringsliv och offentlig sektor, speciellt för de som inte redan behandlade personuppgifter på lämpliga sätt. Samtidigt som det är mycket positivt att fler organisationer blivit medvetna om vikten av att skydda personuppgifter har det ibland trängt undan andra frågor som underprioriterats, ibland för att mäkta med enbart personuppgiftsbehandlingar.

Bara för att ett säkerhetsrelaterat ämne är viktigt innebär inte det att alla andra per automatik blir oviktiga. Det blir lite som att försöka täcka ett golv med en matta som har ett mindre mått än golvet som mattan är avsedd att täcka.

Frågan belyser vikten av att ta ett helhetsgrepp istället för att enbart arbeta med tunnelseende på det som just vid varje givet tillfälle fått hög prioritet. Det är inte en fråga om att antingen skydda och begränsa tillgången till information eller skapa förutsättningar för tillgänglighet och/eller riktighet, alla tre aspekterna måste beaktas utifrån varje tillgång. Oförmåga att hålla igång mer än en tanke  åt gången är dessvärre vägen många vandrat och misslyckats med sitt informationssäkerhetsarbete.

Det är ibland lätt att låta sig nedslås av sådant som man inte önskar uppnå eller där andra misslyckats, det är dock sällan det som inspirerar till stordåd eller ger hopp i tillvaron. Så låt oss här på sluttampen avsluta denna krönika med att belysa några av de saker som de som bedriver ett lyckat informationssäkerhetsarbete ofta har gemensamt:

  • Få organisationens ledning engagerad och delaktig, kom ihåg att ett lyckat informationssäkerhetsarbete genomsyrar hela verksamheten på olika sätt och kräver engagemang och delaktighet hela vägen ifrån ledningen. Inte enbart i syfte att säkra resurser för arbetet över tid, även om det såklart också är viktigt.

 

  • Involvera organisationens kärnverksamhet, inte minst i arbetet med att bedöma risker, konsekvenser och skyddsvärde utifrån verksamhetens faktiska behov och krav.

 

  • Etablera en kultur där det blir naturligt att tänka riskbaserat, som kontrast till att vara alltför fokuserad på åtgärder. Arbeta riskbaserat och välj därefter åtgärder i relation till hur identifierade risker ska hanteras utifrån organisationens riskaptit.

 

  • Försök att inte se ett seriöst informationssäkerhetsarbete som något som kommer uppnås på en gång, det handlar om systematiskt och långsiktigt arbete där det i de flesta fall är mycket svårt att greppa över allt på en gång. Det gäller att prioritera informationssäkerhetsarbetet för att inte riskera att ta sig vatten över huvudet.

 

  • Bedriv inte ett informationssäkerhetsarbete genom att hela tiden säga ”nej” till allt av ”säkerhetsskäl”. Ett välfungerande informationssäkerhetsarbete är ett stöd till verksamheten som inte enbart är ett hinder, utan som även kan erbjuda alternativ till mindre lyckade förslag som bemöts med ett ”nej”. Att enbart säga ”nej” utan att erbjuda alternativ leder sällan till framgång utan kan snarare bli kontraproduktivt i längden. Informationssäkerhetsarbetet ska vara ett stöd, inte enbart ett hinder.

 

Inläggsförfattare är Per Wester, Informationssäkerhetskonsult på Sopra Steria.

Per Wester

Kommentera