Efter att i 20 års tid ha arbetat med IT-säkerhet, informationssäkerhet och nu även cybersäkerhet kan jag bara konstatera att alla verksamheter fortfarande har betydande utmaningar för att hantera säkerhetshot och sårbarheter. Vad som har hänt i omvärlden med påverkan av politiska val och utpressningsförsök för att kunna öppna upp låsta filer har vi alla hört talas om och i vissa fall kanske fått erfara.
Idag är det naturligt att utgå från ISO standarden 27000, eller LIS (Ledningssystem för informationssäkerhet) som den även benämns för offentlig sektor i Sverige. Det är långt ifrån alla som går hela vägen till att bli certifierad enligt ISO/IEC 27001, men varje enskild åtgärd man kan vidta baserad på denna standard är ett steg för att minska risk. Vad jag har konstaterat i mitt arbete som rådgivare, IT-revisor och säkerhetsanalytiker är svårigheterna att få dessa säkerhetsåtgärder att fungera i verksamhetens IT-processer samt verksamhetens dagliga processer. Det är inte ovanligt att säkerhet upplevs som ett hinder, istället för något som skapar förtroende och trygghet.
Det vanligaste rådet för att skapa en säkrare verksamhet är att få ledningens engagemang men även acceptans i form av medel att kunna ta tag i frågan. Lika viktigt är det att dra nytta av den erfarenhet och kompetens som finns hos medarbetarna, där de rutiner och arbetsuppgifter man redan agerar utifrån även beaktar säkerhet. För IT handlar det exempelvis om att utveckla och komplettera befintliga IT-processer med förmågan att se och agera på säkerhetsrisker i form av hot och sårbarheter. Det är där som mervärdet med Resilia® är som störst, eftersom Resilia® bygger på IT processer (bl.a ITIL) och skapar en brygga mellan dessa och de säkerhetsåtgärder som definierats i ISO 27000 samt andra ramverk och standards som man kan ta stöd i.
Vad en verksamhet vinner på en investering som denna är en begränsning av påverkan vid intrång i en mailserver, datornätverk eller enskilt system och i bästa fall även undvika det. Det kan också innebära en stabilare IT-drift och ett förbättrat samarbete internt samt med kunder och underleverantörer. Nyttan i sin tur handlar om förtroende men också att undvika oönskade kostnader.
Nu kan du gå Resilia® Foundation på BiTA för att skaffa dig de
grundläggande kunskaper för att kunna ta genomtänkta beslut i syfte att förebygga, upptäcka och åtgärda incidenter relaterade till cybersäkerhet.
John Wallhoff
(CISA, CISM, CISSP)