Informationssäkerhet

VAD INNEBÄR EFFEKTIV INFORMATIONSSÄKERHET?

Information är värdefull för både organisationer och för enskilda individer. Det är därför viktigt att informationen inte hamnar i orätta händer och missbrukas, utan istället finns tillgänglig för rätt personer och i rätt tid.

Effektiv informationssäkerhet handlar till stor del om att hantera risker på bästa sätt så att information inte läcker ut, förvanskas eller förstörs. Dessutom måste informationen finnas tillgänglig när den behövs. Genom att hantera risknivåer skapas effektiv informationssäkerhet, där kostnaden för att skydda informationen vägs emot informationens värde.

INFORMATIONSSÄKERHET OCH DESS BREDD

Informationssäkerhet gäller oavsett om informationen är tryckt på papper, lagrad elektroniskt, nämns i en talad konversation eller överförs via post eller mejl. Informationssäkerhet är därmed ett brett begrepp som omfattar:

  • Administrativt skydd– t.ex. skapandet av regler och rutiner för bland annat behörighetstilldelning, kontinuitetsplanering etc.
  • Teknisk IT-säkerhet– tekniska kontroller i it-miljön, till exempel brandväggar, skydd mot skadlig kod, logginsamling
  • Utbildning och medvetenhet– att öka användarnas kunskap och insikt kring säkerhetsfrågor, till exempel genom traditionell utbildning, webbinarier eller användning av särskilda verktyg för medvetenhet (awareness)
  • Lagar och regelverk–integritetsskydd för personliga uppgifter genom till exempel krav på registerförteckning, PuB-avtal och DPO utifrån GDPR

För ett heltäckande informationssäkerhetsarbete krävs således en mix av kontroller som täcker människor, processer och teknik. Det krävs också kompetens inom IT-säkerhet, administrativ säkerhet och juridik . Det är också viktigt att all kunskap och allt regelverk kan förmedlas på ett enkelt och tydligt sätt så att hela organisationen kan förstå vad som krävs av den enskilde som användare och hur viktig informationssäkerheten är för verksamheten. Säkerheten är aldrig starkare än dess svagaste länk och kräver därför att organisationen har en fungerande säkerhetskultur.

FLERA VÄGAR TILL SAMMA MÅL

Vilka säkerhetsrisker och hot som er organisation måste skydda sig mot varierar givetvis beroende på er informations värde och komplexiteten i verksamheten. Men slutresultatet ska alltid vara att ett skydd som är tillräckligt bra men samtidigt inte alltför krångligt eller för dyrt.

Med ett sånt flexibelt mål är det inte konstigt att det vuxit fram flera olika standarder, metoder och best practice inom informationssäkerhetsområdet för hur detta ska uppnås. Några vanliga exempel på sådana standarder är ISO 27000-serien, Critical Security Controls (CIS Top 20) och NIST ramverk för cybersäkerhet. Det finns också en lång rad lagar och förordningar som styr informationssäkerhet, till exempel dataskyddsförordningen (GDPR) och NIS-direktivet.

ISO 27000 (LIS)

SS-EN ISO/IEC 27001 Ledningssystem för informationssäkerhet är en internationell standard med flera delar för att styra upp informationssäkerhetsarbetet. År 2011 lanserade MSB det första metodstödet för systematiskt informationssäkerhetsarbete, då under namnet metodstöd för LIS (ledningssystem för informationssäkerhet).  Metodstödet bygger på 27000-standarden.

CIS

Center for Internet Security (CIS) har skapat ett åtgärdspaket bestående av 20 kontrollpunkter, för att hjälpa organisationer och företag att prioritera sina säkerhetsåtgärder och skapa en säker cybermiljö för både sig själva och sina medaktörer.

NIST

National Institute of Standards and Technology (NIST) har delat upp cybersäkerhet i 5 kärnfunktioner för att ge en strategisk bild av livscykeln för en organisations riskhantering för cybersäkerhet. Dessa kärnfunktioner är Identifiera, Skydda, Upptäcka, Agera och Återgå.

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen, även kallad för GDPR, kan förklaras som informationssäkerhet för endast personuppgifter, medan informationssäkerhet i stort handlar om att skydda all information som är skyddsvärd. Till skillnad från många andra standarder är kraven i GDPR tvingande och ställer även krav på organisationers transparens så att registrerade (individuella personer) vet vem som använder deras personuppgifter och varför.