Vad som krävs för ett framgångsrikt informationssäkerhetsarbete är ett omfattande ämne. För bästa möjliga förutsättningar bör frågan vara väl förankrad i ledningsgruppen och rätt resurser finnas på plats. Utöver detta kvarstår frågan kring vad ni bör fokusera på. Vilka grundläggande aktiviteter hjälper din organisation att uppnå ett kontinuerligt informationssäkerhetsarbete? Jag har listat tre aktiviteter som har ett starkt samband med att uppnå ett framgångsrikt informationssäkerhetsarbete.
1. Nulägesanalys
För att veta vad ni ska göra framåt behöver ni veta vart ni står idag. En nulägesanalys hjälper er att bygga informationssäkerhetsarbetet utifrån era förutsättningar. Den ger er en tydlig kartläggning av interna och externa förutsättningar som påverkar hur ert informationssäkerhetsarbete ska utformas i nästkommande steg.
Verksamhetsanalys
Verksamhetsanalysen genomförs i syfte att utforma styrningen av organisationens informationssäkerhetsarbete. Här beaktas intressenter, förutsättningar, organisation och roller samt styrande principer. Det här är komponenter som alla ligger till grund för ett systematiskt informationssäkerhetsarbete.
Mognadsvärdering
Utöver Verksamhetsanalysen kan även mognadsvärderingar i olika skepnader genomföras för att kartlägga organisationens nuläge avseende informationssäkerhet. GAP-analys är ett exempel på en analys som konstaterar ett tydligt nuläge och brister baserat på ett antal utvalda säkerhetsåtgärder från exempelvis standarden SS-EN ISO/IEC 27001.
Verksamhetsanalys och Mognadsvärdering är analyser som ger en bra överblick av nuläget och kan med fördel genomföras oavsett hur långt organisationen har kommit i sitt informationssäkerhetsarbete. De är dock grundläggande aktiviteter för organisationer som är i starten av sitt arbete eller som är relativt omogna i att arbeta med frågan.
Övergripande riskanalys
I en övergripande riskanalys identifieras risker som ses som övergripande för hela organisationen. Fokus för en sådan aktivitet är att hitta de risker som inte är knutna till en specifik informationstillgång. Den här analysen kan vara bra att genomföra i organisationer som är lite mer vana att arbeta med frågan.
2. Tilldela ansvar
Den här kan tyckas självklar, men i många organisationer tenderar informationssäkerhetsarbetet att nedprioriteras eller reaktivt initieras som ett resultat av att en incident eller händelse inträffat. Detta är ofta ett resultat av att en tydlig ansvarsfördelning saknas. Tilldelning av ansvar i sammanhanget är synonymt med tilldelning av mandat att fatta beslut och leda arbetet inom ansvarsområdet. Ansvar tilldelas en person eller roll vilket i sin tur innebär att personen är ålagd att se till att arbetet med informationssäkerhet sker i enlighet med de regler som fastställts i styrande dokument.
Övergripande riskanalyser, verksamhetsanalyser eller GAP-analyser är oftast aktiviteter som genomförs av den grupp individer som har blivit tilldelade någon form av informationssäkerhetsansvar. Detta arbete har därför en benägenhet att stanna i just den gruppen. För att få genomslag och systematik i informationssäkerhetsarbetet måste arbetet spridas ner i verksamheten. Ett sätt att göra det på är via informationsklassningar som också är den tredje aktiviteten för ett grundläggande och framgångsrikt informationssäkerhetsarbete.
3. Informationsklassningar
Att genomföra informationsklassificeringar med tillhörande riskanalys gör att informationssäkerhetsansvariga och informationsägare blir medvetna om och vidtar rätt skyddsåtgärder. Det är genom diskussioner med systemansvariga och personer som i sitt dagliga arbete faktiskt använder sig av informationsmängderna risker kan identifieras och bedömas. Det här hjälper informationssäkerhetsansvariga i verksamheten att komma till insikt om vilka risker som finns i verksamheten och vad som krävs för att eliminera dessa.
Informationsklassningar med tillhörande riskanalyser mynnar alltid ut i åtgärdshantering. Det är hanteringen av åtgärderna tillsammans med kontinuerlig uppföljning som skapar systematik och framgång i ett informationssäkerhetsarbete.
Nur Nauti
Informationssäkerhetskonsult