Nu är tiden då den budget som ska gälla för 2021 klubbas igenom i organisationer landet runt. Det finns områden som alltid har en självklar budgetpost, och så finns det områden som bortprioriteras. Ett av dessa områden är informationssäkerhet. Att informationssäkerhet bör ha en post i budget år 2021 är för mig självklart. Om du inte själv har kommit så långt i tanken kommer här flera anledningar till att du bör tänka om.
Varför ska jag ha plats för informationssäkerhet i 2021 års budget?
Frekvent kan vi i olika medier läsa om cyberattacker som drabbat organisationer i alla storlekar. Cyberattacker som dessutom kan vara svåra att utröna konsekvenserna av. Vi får ständiga påminnelser om att behovet av att prioritera informationssäkerhetsarbete inte kommer att försvinna inom en överskådlig framtid. För att på riktigt tillgodose behovet bör informationssäkerhet ses som en kärnfunktion. En kärnfunktion som exempelvis har en plats i alla projekt som startas och diskuteras inför alla nya inköp som görs. Risken är annars att en verksamhet lider svåra negativa konsekvenser av exempelvis en cyberattack. Som med alla andra kärnfunktioner förtjänar och ska sådana ha plats i en organisations övergripande budget.
Den pandemi som lamslagit världen under 2020 kommer även i fortsättningen innebära att mycket arbete bedrivs hemifrån. Det får naturligtvis konsekvenser ur ett informationssäkerhetsperspektiv. Insatser behöver göras för att säkerställa att all information som tillgängliggörs vid hemmaarbete har exakt samma skydd som dito har i organisationens lokaler. Att bredda omfattningen för skyddsåtgärder kommer givetvis att kosta pengar men det är milt uttryckt ett aktuellt skäl till att informationssäkerhetsinsatser borde ha en given plats i budgeten för 2021 i alla organisationer som låter sina anställda arbeta på distans.
Vilka informationssäkerhetsinsatser ska jag budgetera för?
En organisations sårbarheter inom informationssäkerhetsområdet hör i stor utsträckning ihop med den mänskliga faktorn idag. Utan insatser för att höja de anställdas medvetandenivå i frågan kommer ingenting hända och organisationen kommer fortsatt att vara exponerad för informationssäkerhetshot. En viktig del i budgeten är därför att avsätta medel för att höja kunskapsnivån hos organisationens medarbetare. Det kan exempelvis göras genom olika utbildningsinsatser kring ämnet.
Utöver detta krävs såklart fler insatser. I och med att informationssäkerhet är ett brett område kan det vara svårt att välja fokusområde för att åstadkomma förbättringar. Det hjälper således att prata igenom och definiera specifika mål med sitt informationssäkerhetsarbete. Nedan listar jag fokusområden som er organisation med fördel kan budgetera för genom att avsätta resurser för.
– Informationsklassificering för att skapa sig en bild av var inom er organisation den mest skyddsvärda informationen finns.
– Riskanalys för att förstå vilka informationssäkerhetsrisker organisationen har att förhålla sig till och följaktligen bemöta genom att planera och genomföra lämpliga riskåtgärder.
– Kontinuitetsplanering (BCM) för att minimera risken för den omfattande skada organisationen möjligen kan lida i de fallen organisationskritisk/samhällskritisk information blir otillgänglig.
Kontentan
Sammanfattningsvis: informationssäkerhetsarbete är inte längre någonting som en organisation rimligen kan betrakta som ”en fjäder i hatten”. Det är snarare en direkt förutsättning för att i det långa loppet överleva som organisation. Kritisk information i organisationens alla informationsbehandlingsresurser (IT-system, tjänster, papper etc.) ska ha exakt det skydd det förtjänar. Punkt.
Det är viktigt att komma ihåg att ett informationssäkerhetsarbete värt namnet inte uteslutande är en följd av hur mycket pengar en organisation spenderat. En struktur och ett arbetssätt för informationssäkerhet behöver faktiskt inte kosta skjortan. Däremot kräver det prioritet, engagemang och åtagande från samtliga involverade parter, där inkludering av informationssäkerhet i budget är ett bra första steg.
Filip Gårdelöv
Informationssäkerhetskonsult
