Gör plats för informationssäkerhet i din 2020-budget!

Publicerat 2019-12-10 av Filip Gårdelöv

Gör plats för informationssäkerhet i din 2020-budget!

Nu är tiden då den budget som ska gälla för 2020 klubbas igenom i organisationer landet runt. Det finns områden som alltid har en självklar budgetpost, och så finns det områden som bortprioriteras. Ett av dessa områden är informationssäkerhet. Att informationssäkerhetsinsatser bör ha en budgeterad post år 2020 är för mig självklart. Om du inte själv har kommit så långt i tanken kommer här anledningen till varför du bör tänka om.    

Varför ska jag ha plats för informationssäkerhetsinsatser i 2020 års budget? 

Frekvent kan vi i olika medier läsa om cyberattacker som drabbat organisationer i alla storlekar. Cyberattacker som dessutom kan vara svåra att utröna konsekvenserna av. Vi får ständiga påminnelser om att behovet av att prioritera informationssäkerhetsarbete inte kommer att försvinna inom en överskådlig framtid. För att på riktigt tillgodose behovet bör informationssäkerhet ses som en kärnfunktion. En kärnfunktion som exempelvis har en plats i alla projekt som startas och diskuteras inför alla nya inköp som görs. Risken är annars att en verksamhet lider svåra negativa konsekvenser av exempelvis en cyberattack. Som med alla andra kärnfunktioner förtjänar och ska sådana ha plats i en organisations övergripande budget.  

Okej, nu har jag plats i budgeten – vad ska jag göra? 

Informationssäkerhet är ett brett område och det kan rent utav vara svårt att välja fokusområde för att åstadkomma förbättringar. Det hjälper således att prata igenom och definiera specifika mål med sitt informationssäkerhetsarbete. Nedan listar jag aktiviteter som er organisation kan budgetera för där resultatet av desamma används som underlag för att fastställa informationssäkerhetsmålen: 

– Verksamhetsanalys där nuläge kring intern organisation och interna ansvarsförhållanden granskas.  

– GAP-analys för att fånga organisationens nuläge i förhållande till önskat läge (och vad som behöver göras för att nå dit) i framtiden.  

– Audit/Säkerhetsgranskning av identitets- och behörighetskataloger för att skapa förståelse för var det kan finnas informationssäkerhetsrisker.

Kontentan 

Sammanfattningsvis så är informationssäkerhetsarbete inte längre någonting som kan vara ”en fjäder i hatten”. Det är snarare ett måste för att i det långa loppet överleva som organisation. Verksamhetskritisk information i verksamhetens alla informationsbehandlingsresurser (IT-system, tjänster, papper etc.) ska ha exakt det skydd det förtjänar, punkt.  

Det är viktigt att komma ihåg att ett informationssäkerhetsarbete värt namnet inte uteslutande är en följd av hur mycket pengar en verksamhet spenderat. En struktur och ett arbetssätt för informationssäkerhet behöver faktiskt inte kosta skjortan. Däremot kräver det prioritet, engagemang och åtagande från samtliga involverade parter.  

Filip Gårdelöv

Filip Gårdelöv

Informationssäkerhetskonsult 

filip.gardelov@dirsys.com

031-7016743