Varför ska ni införa ett ledningssystem för informationssäkerhet (LIS)?

Publicerat 2020-09-07 av Måns Viktorson

Varför ska ni införa ett ledningssystem för informationssäkerhet (LIS)?

I högsta grad en relevant och viktig fråga, tycker jag, även om jag inte direkt kommer att besvara den här. Jag kan däremot hjälpa till att vända och vrida på några begrepp och tankeställningar som jag tycker är viktiga för dig som sitter med frågeställningen i din organisation. ”Varför ska VI införa ett ledningssystem för informationssäkerhet”. För det är ju till syvende och sist du som behöver svara på frågan själv.

Till att börja med, presuppositionen, den förutfattade meningen. Många associerar direkt till ISO27001. En del tänker dokumentation, dokumentation, dokumentation. Ytterligare någon tänker kanske processkartor och riskanalyser eller audits. En god vän till mig, som arbetar med riktigt teknisk IT-säkerhet, kallar det skämtsamt för ”mumbo jumbo” när vi pratar om vad jag jobbar med. Ska vi börja med att utmana den bilden?

Som jag ser det

För mig handlar ett ledningssystem om att ta kontroll över situationen. Att gå från att gissa och hoppas till att faktiskt veta. Vet man så kan man ta informerade och kloka beslut. Gissar man och hoppas så får man förlita sig på tur eller i bästa fall sin goda instinkt. Så, att veta är en viktig ingrediens i ett ledningssystem. En annan vital del i ledningssystemet är vad man gör med sitt vetande, här och nu och framåt. Det är ett system för ledning. Med andra ord en tanke, en taktik, en strategi för hur du styr din organisation på ett informerat och klokt sätt.

Nu kanske du tänker att du klarar dig rätt bra på din gut feeling. Men jag gissar att du inte är ensam i din organisation. Precis som i alla lagsporter så vinner oftast det laget som har det bästa spelsystemet och är vassast på att spela efter det, över det laget som har duktigast spelare men inget samspel. Alltså behöver din organisation ha en förmåga att samarbeta, en tanke, en taktik, en strategi. Eller ett system för ledning, helt enkelt.

En annan förutfattad mening är att införande av ett ledningssystem ovillkorligen utmynnar i ett omfattande ISO27001 certifieringsprojekt. Det KAN ju förstås vara så, men det måste inte vara så. Jag brukar rekommendera att man ändå håller ett öga på ISO27001 för att skapa något som en dag, när det eventuellt är dags, kan certifieras enligt standarden.

En nyckel till att lyckas

Jag är helt övertygad om att för att ett ledningssystem ska bli så bra som möjligt för dig så behöver du och din organisation fastställa vad ni vill få ut av det, mer än att det bara ska ge er kontroll. Behöver du möta regulatoriska krav med ett LIS i något sammanhang? Vill du öka på er förmåga att skydda er information? Har ni en hotbild som ni behöver hantera? Eller vill du rent av få bättre kontroll på att de pengar ni lägger på IT- och informationssäkerhet används till rätt åtgärder? Kanske har ni ineffektiva och dyra processer som hade mått bra av en uppfräschning? Ett tydligt syfte är a och o för dig som behöver berätta för din organisation varför det är en god idé att lägga tid och energi på ett LIS, men det är också otroligt viktigt för att hålla riktningen i ett införandeprojekt.

Följaktligen, sätt en ambitionsnivå och en målbild. Själv är jag vän av att tänka efter före och sedan arbeta strukturerat.

Några verktyg jag vill rekommendera dig att använda innan eller i början av ett införandeprojekt är:
  • GAP-analys: Hur ser nuläget ut och hur möter det målbilden du har?
  • Hot- och sårbarhetsanalys: Vad hotas din organisation av ur ett informationssäkerhetsperspektiv? Vilka sårbarheter har ni som kan möjliggöra att hot skadar er?
  • Informationsklassning: Inventera vilken information ni har och gör en riskanalys i syfte att ta reda på var ni behöver sätta in skyddsåtgärder.
  • Kontinuitetsplanering: Gå igenom din organisations viktigaste funktioner och avgör vilka reservprocesser ni behöver få på plats.

Jag vill också utmana tanken att införandet av ett ledningssystem för informationssäkerhet ska ske som en big bang. Kanske passar det er bättre att lägga en plan för ett stegvis införande? Börja med det viktigaste, det mest sårbara, det känsligaste, de lägst hängande frukterna eller den delen av verksamheten som måste leva upp till ett speciellt regulatoriskt eller affärsmässigt krav. Låt ledningssystemet bli en del av verksamheten, arbeta med utvärderingar och ständiga förbättringar. Säkerhetsarbete behöver vara kontinuerligt, initierat, smart och följsamt och inte en engångsinsats. Jag tänker att det är ”systematiskt” jag far efter egentligen.

Nu har du fått ta del av några av mina tankar kring införande av ett LIS. Hur viktigt det är att skaffa sig kontroll, hur viktigt det är att veta vad du har för målsättningar, några informationssäkerhetsverktyg och slutligen nyckeln att det är okej att bygga ditt LIS gradvis och systematiskt.

Jag vill avrunda det här blogginlägget med att berätta att det finns verktyg som kan stötta dig och din organisation både på resan till ett sjösatt LIS och i förvaltningen av det. DirSys egna verktyg, DIGframe hjälper er att ha koll på er informationssäkerhet och skapa struktur i ert digitaliseringsarbete. Här finns även hjälpsamma kopplingar till både GDPR- och ISO27001-ramverken.

Och vi hjälper dig med råd & dåd på hela resan.

Måns Viktorson

Måns Viktorson

IT- & Informationssäkerhets-konsult

[email protected]

031-797 44 99

Relaterat innehåll: