Ett alltid aktuellt ämne är informationssäkerhet där vikten av att kunna skydda sina IT-system och deras informationsinnehåll blir allt viktigare.
Svårigheterna med att säkra sin information och med att organisera och driva sitt informations-säkerhetsarbete på ett systematiskt sätt var temat för ett frukostseminarium vi höll den 21 maj.
Vid seminariet beskrevs en förändringsresa i en organisation vars situation för drygt 10 år sedan kännetecknades av lågt informationssäkerhetsmedvetande i kombination med hastigt förändrad omvärld och därmed snabbt växande hotbild. Behovet av att snabbt lyfta sig runt dessa frågor var därför i det närmaste akut.
Beslut togs att använda LIS – Ledningssystem för Informations- Säkerhet – som verktyg för att strukturera arbetet med att lyfta organisationen ur informationssäkerhetsperspektiv.
Vi beskrev vilka steg organisationen tog, relaterade till motsvarande inom LIS-modellen. Vi berörde hela kedjan från att formulera projekt, utarbetandet av policys, riktlinjer och instruktioner till informationsklassningsproblematik. Vilka erfarenheter och lärdomar drogs på vägen, vilka delar visade sig bli större utmaningar än man från början kunde anta, kan IT-säkerhet och informations-säkerhet ibland hamna i konflikt med varandra?
Sammanfattat är de viktigaste framgångsfaktorerna vid förändringsprojekt relaterade till informationssäkerhet:
Ledningens engagemang - som i alla förändringsprocesser är detta en förutsättning för att uppnå avsett resultat. Inte bara vid själva införandet utan lika mycket i fortvarighet då organisationen ska arbeta enligt ständiga förbättringar och säkerställa att implementationen bibehålls och fortsätter att täcka hela organisationen.
Projektifiera införandet – att organisera en förändringresa av den omfattning och kompexitet som införandet av ett strukturerat informationssäkerhetsarbete oftast innebär kräver strukturerade arbetssätt. Projektformen, rätt anpassad, erbjuder stora fördelar här. Det är exempelvis viktigt med dedicerade resurser, att mål och tidsplaner sätts upp och att detta följs upp och avrapporteras strukturerat. Förändringsarbeten av den här kategorin som läggs ut på linjen för att där prioriteras mot den löpande verksamheten har mycket små möjligheter att bli framgångsrika.
Anpassa förvaltningsorganisationen – att säkerställa informationssäkerheten i fortvarighet är en fråga för den löpande förvaltningen. I samband med att man genomför ett informations-säkerhetsprojekt ska även organisationens linje därför anpassas, roller utses inklusive roll-beskrivningar, utarbeta riktlinjer inte minst avseende själva IT-driften men också för den övrig verksamheten.
Förlust av informationstillgångar eller annan skada orsakad av brister i informationssäkerhets-hanteringen kan bli en katastrof för organisationen. Ekonomisk skada men även risk för påverkan på individer när man hanterar känslig personrelaterat information är ett par exempel. Fara för liv och egendom om du exempelvis arbetar med styrsystem där manipulerad information eller funktionsbortfall kan vara fatalt är andra exempel.
Det finns det inget som tyder på att de risker som följer med bristande informationssäkerhet skulle minska framgent snarare tvärtom i takt med att informationstillgångarna ökar och bli än mer strategiska för organisationer och företag. De organisationer som har bristande informationssäkerhet tar därför allt större risker och kan förr eller senare få betala ett pris för att de inte agerat i tid.
Arbete med informationssäkerhetsfrågor kan mot den bakgrunden kännas tungt och påtvingat men det kan faktiskt göras både spännande och stimulerande. Det kan också skapa andra effekter och bli verktyg för att generellt höja både kvalitet, ansvarskänsla och den allmänna medvetenheten i en organisation.
Om du upplever att din organisation har utmaningar inom informationssäkerhetsområdet – kontakta oss för ett förutsättningslöst möte. Då får ni möjlighet att ta del av våra erfarenheter, att diskutera er situation och tillsammans kan vi hitta ett sätt att börja nysta upp och strukturera er situation.