Om de anställda inte känner till företagets säkerhetsarbete
försvinner den största delen av värdet. Eller för att uttrycka det i klartext:
din informationssäkerhetspolicy betyder ingenting om ingen har läst den.
Att IT-hoten ökar och framförallt blir mer sofistikerade är
ingen nyhet. Under det senaste året har vi kunnat läsa om allt mer avancerade
attacker i form av ransomware (utpressningsprogram) med namn som CryptoLocker,
Petya och Wannacry, för att nämna några. De säkerhetshot som fått stor spridning under de senaste
åren har inte sällan en gemensam nämnare i att spridningen utgår från intet ont
anande anställda. Ibland genom så enkla metoder som länkar i mail eller
bifogade filer.
Informationssäkerhetspolicy bara grunden
En given grund i säkerhetsarbetet är en informationssäkerhetspolicy.
Många har den, men allt för få medarbetare har faktiskt läst den. Enligt en
undersökning som IT-säkerhetsföretaget Kaspersky gjorde i början av 2018 sa sig
bara 12 procent, av de nästan 8 000 svarande i undersökningen, vara fullt
medvetna om vad som stod i företagets IT-säkerhetspolicy. 24 procent svarade
att de inte trodde att det fanns en policy.
Målet för en informationssäkerhetspolicy är att bevara
konfidentialitet, integritet och tillgänglighet för system och information. Men
utan incidenthantering, rätt utbildning av medarbetarna och övervakning av
efterlevnad riskerar policyn att bli ett tandlöst dokument och en hyllvärmare.
Bygg förtroende för ert säkerhetsarbete
Ett säkerhetsarbete som genomsyrar organisationen – inte
bara IT-verksamheten – är avgörande. Som en del av det måste organisationen få
förtroende för säkerhetsåtgärderna och inse nyttan med arbetet. Det handlar alltså inte bara om ett strategiskt arbete med informationssäkerhetspolicyn,
utan lika mycket ett strategiskt arbete med hur den ska förankras i
organisationen. Det kan brytas ned till så enkla saker som att förklara varför
vissa saker inte är lämpliga och vad som kan hända om man bryter mot policyn.
Eller transparens kring vilka tekniska åtgärder företaget har på plats, hur de
kan hjälpa organisationen och hur arbetet kan mätas, presenteras och följas
upp.
Ta säkerhetsarbetet vidare
Informationssäkerhetspolicyn sätter ramarna men processerna
för att hantera IT-säkerhet är det som avgör om ni blir framgångsrika. Hur
arbetar ditt företag till exempel med klassificering av system, rapportering
och ändringshantering? Vi på BiTA finns till din hjälp om du vill komma vidare
i förändringsarbetet, från policy till implementation, uppföljning och
utbildning.
Om du behöver hjälp att utveckla ditt informationssäkerhets-
eller integritetsarbete finns vi på BiTA såklart till din hjälp. Bollplank i
specifika utmaningar eller ett kortare utbildningsgig på plats hos er kanske
kan få fart på ert arbete?
Mats Leonéus
Erfaren managementkonsult på BiTA