Det handlar inte om IT!
Fyra gånger om året arrangerar vi på Tripnet kunskapsfrukost, där vi tar upp aktuella ämnen inom IT. Höstens första seminarium hölls av Henric Skalberg från Advania, tillsammans med Tripnets Göran Sjöberg.
Henric inledde med att dela insikter och ge tips på hur man kan skapa hållbara processer för att förbättra informationssäkerheten. Därefter berättade Göran om sina erfarenheter från hur vi på Tripnet gjort för att implementera vår informationssäkerhetspolicy – ett ständigt förbättringsarbete som fortfarande pågår. Jag återkommer till det strax.
En viktig utgångspunkt när det gäller informationssäkerhet är att man ofta blandar ihop teknisk säkerhet (det skydd IT-systemen och den tekniska driften kan erbjuda) och administrativ säkerhet (hur vi människor väljer att hantera vår information i det dagliga arbetet). Vi vill gärna tro att tekniska lösningar är tillräckligt för att den information vi vill skydda eller hålla tillgänglig är säker. Men fastän vi spenderar mängder av resurser på IT-säkerhet och olika skydd, räcker det med att en användare klickar på fel länk eller mejlar känsliga uppgifter för att alla satsade timmar, kronor och ören ska vara bortkastade. Det är den största förklaringen till att informationssäkerheten inte ökar i samma takt som vi skapar bättre IT-system.
Informationssäkerhet handlar alltså inte om teknik – utan om människor.
– Det blir särskilt tydligt när man betänker att ransom ware är ett av de vanligaste säkerhetsproblemen idag, menar Henric.
Bara genom att bli medveten om skillnaden mellan vad som är teknik- och handhavandeproblem har man kommit en bit på vägen. Nästa steg är att identifiera var ansvaret för informationssäkerheten ligger. Både Göran och Henric poängterar att informationssäkerhet inte är en fråga för IT-avdelningen, utan något som berör hela företaget. Därför måste ansvaret ligga på högsta ledningsnivå (nu anser jag visserligen att IT och IT-säkerhet också är en fråga för företagsledningen men det är en annan diskussion).
Informationssäkerhet berör alla
När det gäller informationssäkerhet är givetvis alla människor i en organisation viktiga. Här kan jag inte nog understryka hur viktig företagskulturen är. Vilka värderingar vi har på vår arbetsplats har betydelse för hur jag som medarbetare ser på mitt ansvar, hur jag delar information och ser till att den hamnar på rätt ställe – eller inte hamnar på fel ställe. Jag tror också att man inte ska underskatta betydelsen av att välkomna nya medarbetare på ett bra sätt, genom att gå igenom rutiner och se till att den nyanställde har allt som behövs för att utföra sitt jobb på ett säkert och medvetet sätt.
Även om vi på Tripnet är experter på drift och teknisk säkerhet kan vi se en klar fördel med administrativ säkerhet: det finns större möjligheter att arbeta proaktivt, genom att ha bra rutiner och tydliga ansvarsroller.
Konfidentialitet, tillgänglighet och riktighet
När man pratar om säkerhet är det främst två aspekter man tänker på: konfidentialitet och tillgänglighet, det vill säga att hindra information från att hamna på fel ställe och säkerställa att vi kan komma åt den när vi behöver. En aspekt man ofta glömmer, vilket Henric poängterar, är riktighet. Hur kan vi vara säkra på att den information vi har är korrekt och inte har ändrats på vägen? För att kunna säkerställa riktighet krävs ett fjärde perspektiv, nämligen spårbarhet. Just därför är det viktigt att ha rutiner och klassningar för olika dokument, så att det är tydligt vem som äger dokumentet, om, hur och när det får ändras och av vem det får läsas. Här blir det ännu mer uppenbart att inte några brandväggar och antivirusprogram i världen räcker till, utan snarare kan göra att man invaggas i en falsk trygghet.
Hur har vi på Tripnet gjort detta?
En stor del av kunskapsfrukosten ägnades åt att Göran presenterade hur vi på Tripnet har gjort för att implementera vår policy för informationssäkerhet. Vi insåg tidigt att det lätt kunde bli ett övermäktigt projekt men lät inte det avskräcka oss. Vi var helt enkelt tvungna att komma någonstans. Därför bestämde vi oss för att börja i liten skala och låta det bli ett ständigt pågående förbättringsprojekt. Vi utgick från det vi redan hade: styrdokument och tjänstebeskrivningar från det kvalitetsarbete vi redan arbetar med, och utifrån det skapade vi version 1.0.
– Det viktigaste är att komma igång med processen och se det som ett ständigt förbättringsarbete, menar Göran. Det är bättre att börja någonstans än att inte göra något alls. Förr eller senare är du hemma.
Görans fem tips för att ta fram en informationssäkerhetspolicy:
- Var noga med vad du vill uppnå och vad du vill med version 1.0. Få hjulet att börja snurra men ha tålamod.
- Skapa förståelse och engagemang i hela organisationen. Kom ihåg att det inte är en teknikfråga!
- Gräv där du står, sluta fantisera och var realist. Tänka igenom alla processer och avdelningar på företaget. Informationssäkerhet kommer in överallt.
- Ta hjälp, det finns många fallgropar. Hitta engagerade människor internt som vill vara med men var inte rädd för att även ta in extern hjälp.
- Inse att det tar längre tid än du tror. Ta en bit i taget och framförallt – keep it simple!
Ulf Persson, VD
Var du där? Vad tyckte du om seminariet? Om du fyller i utvärderingen jag mejlade dig kan du ladda hem ditt exemplar av presentationen.
Nästa kunskapsfrukost blir den 24 november. Då kommer Nils Molin från Radar tillbaka för att ännu en gång ge oss senaste nytt om de hetaste IT-trenderna. Det vill du inte missa!
