Står ni inför ett införande av ledningssystem för informationssäkerhet (LIS)? Som vilket förändringsprojekt som helst är risken överhängande att vi kommer halvvägs, tappar farten och kraschar in i väggen. Vi har listat tre vanliga fallgropar vid införande av ledningsyssystem för informationssäkerhet och hur ni undviker dessa. Helt enkelt några råd på vägen kring hur ni etablerar ett LIS som lever över tid.
-
Att inte ha koll på syftet med sitt ledningssystem för informationssäkerhet
När det är dags för införande av ledningssystem för informationssäkerhet är det lätt att ryckas med, kasta sig in i projektet och glömma bort att först definiera vad syftet med att ha ett LIS är. Varför ska vi lägga tid och energi på detta? Den frågan bör ha ett tydligt svar innan ni drar igång.
I grund och botten handlar allt arbete vi lägger ner på informationssäkerhet om att säkerställa informationens konfidentialitet, riktighet och tillgänglighet (KRT). Att vårt LIS stöttar detta är därför ett lämpligt syfte. Andra syften som är vanliga är att uppnå lagkrav eller att bli mer konkurrenskraftiga.
När ni vet varför kan ni börja med att formulera en vision. Vart ni vill på lång sikt med ert LIS. Därefter bryts detta ner i lite enklare steg och målsättningar som förslagsvis uttrycks årligen.
-
Att vara för ambitiös med sitt LIS
En vanlig anledning till att ett ledningssystem för informationssäkerhet stannar på pappersproduktsnivå är att det blir ett för ambitiöst projekt.
Det finns ofta en clash mellan vad en ambitiös CISO vill genomföra och vad organisationen är mogen att ta till sig. Det finns många exempel där en individ slutar och organisationen får ta sig an ett arv de inte kan ta tillvara på. Eller där individen ska kommunicera ut ett ambitiöst LIS i verksamheten och inte alls når fram. Intentionerna och avsikterna är goda men det blir svårt att lyckas med genomförandet.
Genom att avgränsa er har ni mycket högre sannolikhet att jobba systematiskt och kontinuerligt över tid. Välj till exempel ut några områden som ni börjar med. Två exempel på detta är riskanalys och utbildningsplan. När systematiken sitter kan ni utöka.
-
Att ta införande av ledningssystem för informationssäkerhet halvvägs
Om ett LIS ska bidra till det systematiska informationssäkerhetsarbetet räcker det inte med att ha dokumenterat det. Då blir det en pappersprodukt. För att det på riktigt ska vara en del av ledningssystemet för informationssäkerhet så har ni:
- Tagit fram modellerna
- Kommunicerat ut modellerna
- Förankrat ansvar och roller för modellerna
- Och viktigast av allt – jobbar med uppföljning av modellerna
Uppföljningen behöver ske både på utfallet, exempelvis hur har det gått med våra riskanalyser? Men även på helheten: Får det här arbetet rätt effekt? Att både jobba med uppföljning på det sättet kontinuerligt och att ha det beskrivet är en nyckel. Först då börjar vi uppnå någon form av systematik och kontinuitet i informationssäkerhetsarbetet.
Ett ledningssystem som bidrar till systematiskt informationssäkerhetsarbete
Vi hjälper er gärna att börja med, prioritera i och vidareutveckla ert ledningssystem för informationssäkerhet. Det gör vi både genom rådgivning och genom vårt system för informationssäkerhet. I Security kan ni förvalta framtagna modeller, skapa tydlighet för organisationen och framför allt, nå den uppföljning som krävs för systematiskt informationssäkerhetsarbete.
