Hoppa till huvudinnehåll

Intelligence assured

Prenumerera på framtida blogginlägg via vårt nyhetsbrev

Läs mer om hur vi hanterar personlig information

Digitaliseringen gör att informationssäkerhet är ett område som blir allt viktigare. Med allt fler enheter anslutna till Internet ökar de möjliga attackvägarna in till den egna IT-infrastrukturen och alla bolag och myndigheter behöver säkerställa att de gör vad de kan för att undvika en attack. Ett strukturerat arbetssätt med informations-säkerhet är därför något som måste finnas på plats.
Men hur går du tillväga för att säkra ledningens engagemang så att arbetet med informationssäkerhet prioriteras? Här några saker du bör ha med dig vid en presentation för ledningen.

Analysera riskerna

För att kunna göra rätt prioriteringar i säkerhetsarbetet behövs en riskanalys – en säkerhetsskyddsanalys. Där fastställs vilka som är verksamhetens skyddsvärden, vilka konsekvenser som kan uppstå om dessa skyddsvärden blir attackerade, vad som är hotet och vilka sårbarheter som finns. Baserat på detta kan man sedan föreslå lämpliga skyddsåtgärder. 
Genom att ställa dig ett antal frågor kan du få fram ett underlag till en säkerhets-skyddsanalys som gör att du kan vara väldigt konkret när du presenterar för ledningen.

Säkerhetsskyddsanalys

Förklara konsekvenserna

Givetvis måste du berätta konsekvenserna som kan ske om ni som bolag inte jobbar med informationssäkerheten. Det finns flera kända fall av ransomeware attacker, såsom Maersk caset och Baltimore i USA som kan nämnas. Men ta gärna med mer närliggande exempel utifrån din analys. Om du tex upptäckt att ni har brister i mjukvaruppdateringarna så är det mer kommunikativt och övertygande att säga att ”en hacker kan kopiera hela lönelistan och lägga ut den på internet” än att prata om att ett flertal säkerhetsuppdateringar behöver göras.

opportunity cost

Investeringen mindre än alternativkostnaden

Ett motargument du kan få är: ”Men kostar det inte en hel del att införa ett strukturerat arbetssätt med informationssäkerhet?” Detta är något du snabbt kan svara på genom att förklara att alternativkostnaden vid en attack oftast är så mycket högre än investeringen som behövs. Med ett ständigt ökande antalet attacker är risken för att drabbas förhållandevis hög. Att INTE investera i sin informationssäkerhet innebär därför egentligen att man som företag, och ledning, tar en oerhört stor finansiell risk. Vill ledningen verkligen ta den risken?

commitment

Lyft fram fördelarna – och säkra ledningens engagemang för informationssäkerhet

Det är bra om ledningen förknippar informationssäkerhet med något positivt och att det inte är så komplicerat. Därför är det viktigt att du avslutar argumentationen med att förklara att ett systematiskt informationssäkerhetsarbete gör att ni kan undvika negativ publicitet, informationsläckage, driftstopp – helt enkelt undvika flera risker att förlora affärer. En annan positiv effekt av strukturerat informationssäkerhetsarbete är att medarbetarna får tillgång till rätt information vid rätt tidpunkt vilket ofta innebär att effektiviteten kan höjas. Genom att betona dessa och andra fördelar med ett strukturerat informationssäkerhetsarbete blir det enklare att säkra ledningens engagemang.

Vill du läsa mer om detta så har MSB en bra guide på sin hemsida.

Behöver du hjälp med att genomföra en säkerhetsskyddsanalys kan du ladda ned Advenica’s guide till det här .

Behöver du mer hjälp med analysen är du välkommen att höra av dig till oss på Advenica.

Ny lag och många nya krav – det är många bolag som känner att de inte riktigt har hunnit med när det gäller arbetet med informationssäkerhet. Detta trots att de nya reglerna kräver det av dem.

Hur gör man en säkerhetsskyddsanalys? Hur integrerar man IT- och OT system på ett säkert sätt? Kan man outsourca tjänster på ett säkert sätt? Varför behövs nätverkssegmentering? Frågorna är många och behovet av cybersäkerhetsexperter stort.

informationssäkerhet

Säkerhetsskyddslagen – nya krav

Den nya säkerhetsskyddslagen som trädde i kraft i april 2019 innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, har förstärkts.

Säkerhetsskyddslagen gäller för verksamheter som drivs i såväl offentlig som privat regi och alla verksamheter med skyddsvärda data omfattas. Det kan till exempel handla om kritisk infrastruktur och deras system för styrning av känsliga processer (SCADA), i och med att dessa utgör en potentiell attack möjlighet.

Den nya lagen tydliggör skyldigheterna för säkerhetskänslig verksamhet och betonar vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter. Det är också obligatoriskt med spårbarhetslogg och säkerhetsskyddschef för alla verksamhetsutövare.

I säkerhetsskyddsförordningen, med regler som kompletterar den nya lagen, står det även att säkerhetsskyddsklassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll måste skyddas av en speciell kryptering som har godkänts av Försvarsmakten.

Allt som allt innebär detta många nya krav på alla verksamheter som är berörda och många bolag följer ännu inte alla dessa nya regler.

tips för informationssäkerhet

Omfattas bolaget av säkerhetsskyddslagen?
Här kommer 4 tips gällande informationssäkerhet

Advenica har lång erfarenhet av informationssäkerhetsarbete och tillhandahåller expertis och unika, tekniskt avancerade, hållbara och framtidssäkra cybersäkerhetlösningar med hög assurans. 

Här ger vi 4 tips på områden inom informationssäkerhet som bolag som omfattas av de nya reglerna bör sätta sig in i.

1. Viktigt att börja med en säkerhetsskyddsanalys

När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. En sådan analys är grunden till allt säkerhetsskyddsarbete. Genom att ställa dig ett antal frågor får du fram det som krävs. Läs mer om detta i vår guide ”Hur gör man en säkerhetsskyddsanalys?”.

2. Nätverkssegmentering – fundamentalt för informationssäkerhet

Behovet av att strängt säkerställa integritet och konfidentialitet mellan nätverk är absolut nödvändigt för att leva upp till de externa och interna krav som finns både på informationssäkerhet och produktionssäkerhet. Nätverkssegmentering begränsar skadan vid en cyberattack. Utan segmentering finns det risk att känslig information kan läckas eller manipuleras samt att malware och ransomeware sprider sig okontrollerat och snabbt. Läs mer om nätverkssegmentering och olika typer av separation i vårt White Paper ”Nätverkssegmentering - fundamentalt för informationssäkerhet”.

3. Skydda känslig information med en datadiod

En lösning som ofta används för att skydda känslig eller säkerhetsklassad information från läckage eller manipulation är att frånkoppla den från andra nätverk helt och hållet. Det finns dock situationer när data behöver överföras till eller från det skyddade nätverket. Genom att använda en datadiod kan du säkerställa att överföringen genomförs på ett säkert sätt, utan att riskera nätverkets integritet eller konfidentialitet. Läs mer om datadioder och hur du använder dem i vår kunskapsbank – ”Vad är en datadiod?”.

4. Säker systemintegration mellan IT- och OT-system

I takt med samhällets digitalisering har behovet att koppla samman OT-system med IT-systemen ökat.  Denna integration är en stor utmaning ur säkerhetssynpunkt då risken finns att någon olovandes påverkar eller ändrar i systemet. Med speciella lösningar kan man säkerställa säker systemintegration. Läs mer om detta i vår lösningsbeskrivning ”Säker IT/OT integration”.

 

Behöver du mer hjälp är du välkommen att kontakta oss på Advenica.