Myndigheten för Samhällsskydd och Beredskap (MSB) föreskriver att myndigheter ska ha ett ledningssystem för informationssäkerhet (LIS). Detta görs i syfte att upprätthålla hög säkerhet kring informationshantering vilket jag idag anser kan vara viktigare än någonsin. Var och varannan dag kommer nämligen nyheter gällande cyberattacker där konfidentiell information sprids vidare till obehöriga. LIS förhindrar inte att dessa attacker sker men förhoppningsvis skyddas informationen. LIS innebär även att myndigheter säkerställer sitt arbete med informationssäkerhet på ett systematiskt sätt och i enlighet med MSB:s föreskrift. Systematiskt och kontinuerligt arbete med informationssäkerhet gäller inte enbart myndigheter utan är lämpligt för alla organisationer och företag, såväl privata som offentliga.
Ytterligare en viktig anledning till införandet av LIS, förutom MSB:s föreskrift, är att det i år, april 2016, blev klart att en ny EU-förordning om dataskydd kommer ersätta den svenska personuppgiftslagen (PUL). Detta kommer att gälla från och med den 25 maj 2018. Förordningen kallas ”allmän dataskyddsförordning”. Tack vare denna reform kommer reglerna för hur personuppgifter behandlas bli modernare och skillnaden mellan medlemsstater minska. Det sistnämnda är en stor fördel för företag och organisationer som verkar i flera EU-länder eftersom de enbart behöver förhålla sig till ett regelverk när de hanterar dessa uppgifter.
Vad innebär LIS och hur anser jag att ett företag eller en organisation ska arbeta systematsikt med informationssäkerhet? A och O med LIS tror jag är att förstå vikten av det och att arbetet inte är något som görs i en handvändning. Det är ett stort arbete att införa LIS men väldigt viktigt och i vissa fall även nödvändigt. Utförs arbetet grundligt och på rätt sätt är min erfarenhet att det är roligt och uppskattat arbete. Dagens samhälle är uppbyggt av information och informationstillgångar finns i princip överallt i olika former. En informationstillgång kan vara allt från system och människor med informationen de bär på till dokument, anteckningar, mallar och handlingar. Beroende på vilken informationstillgång det är och vad den innehåller krävs olika skydd och hanteringssätt. Ju mer skyddsvärd informationstillgången är desto viktigare är det att den identifieras och klassificeras för att slutligen kunna hanteras och skyddas på rätt sätt. Om detta arbete utförs systematiskt och kontinuerligt förenklar det för företag och organisationer att förhålla sig till den allmänna dataskyddsförordningen som träder i kraft år 2018.
Hur anser jag att arbetet med LIS ska gå tillväga? Det första och kanske viktigaste steget i införandet av LIS är ur min synvinkel att göra en grundlig inventering av informationstillgångar. Görs detta ordentligt är det ett omfattande arbete som tar tid, men det är viktigt att låta det ta den tid det behöver. Görs inventeringen grundligt och rätt har jag och BiTA nämligen sett att det underlättar enormt för det fortsatta arbetet. Varje identifierad informationstillgång bör kompletteras med information gällande IT-stöd, interna och externa krav så som exempelvis lagkrav eller kvalitetskrav. Anledningen till detta är att kraven kan påverka klassificeringen och likaså IT-stödet även om IT-stödet främst är relevant för nästa steg: hur informationstillgångarna ska skyddas och vad de ska ha för skydd. Med den allmänna dataskyddsförordningen i åtanke är det extra viktigt att dokumentera lagkrav gällande personuppgifter så att dessa hanteras på rätt sätt. När alla informationstillgångar är identifierade ska dessa klassificeras. Detta bör göras utifrån kriterierna riktighet, konfidentialitet och tillgänglighet, även spårbarhet kan användas om så önskas. Riktighet klassificeras utifrån vad konsekvensen blir om informationen förändras eller förvanskas utan att någon märker det. Konfidentialitet grundas i vad som händer om obehöriga får tillgång till informationen, vad får det för konsekvenser? Tillgänglighet utgår från konsekvensen som uppstår om informationen inte längre finns tillgänglig, om den raderas eller behörigheten till informationen förändras. Klassificeringsarbetet blir förstås mer tidskrävande ju fler informationstillgångar som organisationen har identifierat. Vi har sett att en del organisationer istället väljer att utgå ifrån sina system i inventeringsskedet för att minimera antalet informationstillgångar. Klassningen bygger framförallt på erfarenhet, kunskap om verksamhet, riktlinjer och bedömningar, såväl individuella som företagets, organisationens eller samhällets. Min erfarenhet är att polletten ofta faller ner i det här steget och att konsekvenstänkandet leder till att man förstår vikten av LIS. När alla informationstillgångar är identifierade och klassificerade rekommenderar jag att en ägare utses till varje enskild tillgång: vem som äger informationen. Detta görs för att tydliggöra vem som har det yttersta ansvaret gällande respektive informationstillgång, precis som att det alltid finns en ansvarig utgivare för information som publiceras i tidningar eller på hemsidor.
Vilka är de viktigaste framgångsfaktorerna vid implementering av LIS? Jag har lärt mig att kommunikation, transparens och inspiration är tre viktiga framgångsfaktorer för att lyckas med LIS-arbetet. Tillämpas dessa faktorer är min erfarenhet att arbetet med LIS blir roligt och man förstår vikten av det. Att dessa tre faktorer är framgångsfaktorer är egentligen inte speciellt konstigt, det grundar sig i Organizational change management (OCM) som är ett strukturerat arbetssätt för hur lyckade förändringar genomförs. I OCM pratas det mycket om förändringskurvan (the grief cycle, Kübler-Ross, 1969), en viktig parameter att förstå för att lyckas med sina förändringar. Vi människor är nämligen naturligt emot förändringar och vår första impuls är oftast att säga nej. Om vi är medvetna om detta när vi ska implementera en förändring eller påbörja ett förändringsarbete, precis som LIS, så har vi enligt mig redan kommit en bra bit på vägen. Min erfarenhet säger att vi människor tar emot förändringar på ett bättre sätt om vi känner oss delaktiga (ju förr desto bättre), om vi förstår anledningen till förändringen och om vi får den informationen/de uppdateringar som är relevanta för oss gällande förändringen. Används dessa framgångsfaktorer på rätt sätt vid ett förändringsarbete ses ofta förändringen som något positivt och energigivande, och lyckas därmed i större utsträckning.
Kontakta gärna mig om du har frågor kring er organisations LIS-arbete och hur BiTA kan stötta er!