Hur gör man en säkerhetsskyddsanalys?

När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys.

Hur gör man då en säkerhetsskyddsanalys?

När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. En sådan analys är grunden till allt säkerhetsskyddsarbete. Hur gör man då en säkerhetsskyddsanalys?

Teknikutvecklingen ger oss många nya fantastiska möjligheter. Problemet är att myndigheternas säkerhetsskydd inte har hängt med i denna utveckling, vilket får följden att fler brister och sårbarheter exponeras för potentiella attackerare. För att undvika gapet mellan hot och skydd fortsätter att växa behövs fler säkerhetsskyddsåtgärder. Grunden är en säkerhetsskyddsanalys.

 

Vad är säkerhetsskydd? 

Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Den tekniska utvecklingen under de senaste åren gör att vi idag behöver vidga begreppet. Dessutom bör även offentliga och privata verksamheter rymmas inom ramen för säkerhetsskyddet.

 

Säkerhetsskydd

 

Uttrycket Sveriges säkerhet avser både militär och civil verksamhet som kan vara av betydelse för Sveriges säkerhet. Vad som behöver skyddas för att förebygga hot mot Sveriges säkerhet kan i viss utsträckning förändras över tid, men de verksamheter som har betydelse för Sveriges säkerhet ryms idag alla inom en eller flera av följande kategorier: 

  • Verksamheter som har betydelse för Sveriges yttre säkerhet: Med detta menas Sveriges förmåga att upprätthålla nationellt försvar (territoriell suveränitet) samt Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet).
  • Verksamheter som har betydelse för Sveriges inre säkerhet: Här menas Sveriges förmåga att upprätthålla och säkerställa grundläggande strukturer i form av det demokratiska statsskicket, rättsväsendet och en brottsbekämpande förmåga på nationell nivå.
  • Nationellt samhällsviktiga verksamheter: Med detta menas leveranser, tjänster och funktioner som är nödvändiga för samhällets funktionalitet på nationell nivå.
  • Verksamheter som har betydelse för Sveriges ekonomi: Här avses den nationella betalningsförmågan.
  • Skadegenererande verksamheter: Hit räknas en verksamhet som, om den utsätts för en antagonistisk handling, kan generera skadekonsekvenser på andra säkerhetskänsliga verksamheter.

 

New call-to-action

 

Nya säkerhetsskyddslagen ställer högre krav på säkerhetsskydd

Den 1 april 2019 infördes en ny säkerhetsskyddslag i Sverige. Den gäller för all verksamhet som är av betydelse för Sveriges säkerhet, till exempel olika former av kritisk infrastruktur. Eftersom dessa bolag idag inte alltid är statliga utan även kan vara privata aktörer kommer den nya lagen att påverka många verksamheter. Lagen innebär nya högre krav gällande säkerhetsskyddsarbete och införs för att kunna minska våra sårbarheter.

 

Hur gör man en säkerhetsskyddsanalys?

När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. En sådan analys är grunden till allt säkerhetsskyddsarbete. Man är skyldig att göra en säkerhetsskyddsanalys om man bedriver säkerhetskänslig verksamhet för att undersöka behovet av säkerhetsskydd. Men hur gör man då en säkerhetsskyddsanalys?

 

 

Genom att ställa dig följande frågor får du fram det som krävs:

1. Vad är målet med verksamheten?

Gör en verksamhetsbeskrivning där det tydligt framgår vilka ansvar och processer som finns i verksamheten. Notera även ev. beroende av andra funktioner, både internt och externt.

 

2. Vilka är verksamhetens skyddsvärden?

Fundera över vad som är verksamhetens skyddsvärden, d.v.s. vilka är de mest känsliga delarna, de delar som kan påverka Sveriges säkerhet om någon kommer över dem?

 

3. Vilka konsekvenser kan uppstå?

Gör en konsekvensanalys och bedöm var gränsen för acceptans går.

 

Konsekvensanalys

 

4. Vad är hotet?

Gör en tydlig beskrivning av hoten och motståndaren. Hur ser hotbilden ut? Vilken typ av angripare kan tänkas utgöra ett hot? Finns det några kända potentiella angripare och vad finns det för hotbild kopplad till dessa?

 

5. Vilka sårbarheter finns?

Gör en sårbarhetsanalys som visar sårbarheter som är kopplade till verksamhetens skyddsvärden. Dessa kan användas av en potentiell angripare och därför är det viktigt att veta var de finns.

 

6. Vilka skyddsåtgärder ska väljas?

Identifierade sårbarheter ska slutligen knytas till lämpliga skyddsåtgärder. Åtgärderna finns inom tre olika områden: informationssäkerhet, fysisk säkerhet och personalsäkerhet.

 

Säkerhetsskyddsplan

När du har genomfört din säkerhetsskyddsanalys ska en säkerhetsskyddsplan uppföras baserad på din analys, som behandlar informationssäkerhet, fysisk säkerhet och personalsäkerhet. Säkerhetsskyddsplanen ska tydliggöra vilka säkerhetsskyddsåtgärder som måste tas.

 

Säkerhetskultur

 

Säkerhetskultur 

Cybersäkerhet är idag inte bara en teknisk utmaning utan även en mänsklig utmaning – det är en fråga om säkerhetskultur. Kriminella utnyttjar inte alltid enbart tekniska brister utan förlitar sig ofta på människor för att komma åt känsliga uppgifter och därför är den mänskliga faktorn den främsta orsaken till de mest allvarliga säkerhetsintrången. Att bygga och underhålla en stark säkerhetskultur är därför en oerhört viktig del i arbetet med cybersäkerhet.

Säkerhetskultur är gemensamma värderingar, föreställningar, attityder, kunskaper och beteenden hos individer och grupper i en organisation inriktade på att skapa säkerhet i verksamheten. Säkerhetskultur handlar om hur medarbetares värderingar påverkar sättet att tänka och agera i förhållande till risk och säkerhet. Den har därför stor betydelse för hur man arbetar och påverkar de anställda dagligen.

För att bli bättre på säkerhetskultur behöver attityder och beteenden ändras. Organisationen behöver se cybersäkerhet och säkerhetskultur som en verksamhetskritisk aktivitet och inte som en isolerad IT-fråga – det är även viktigt att ledningen prioriterar frågan. Det som ska genomsyra arbetet med säkerhetskulturen är att tänka på säkerhet som något som möjliggör arbetet, inte hindrar det.

Läs mer om hur man förbättrar sin säkerhetskultur här!

 

Vill du läsa mer om vad den nya lagen innebär? Besök vår sida om den nya säkerhetsskyddslagen.

Behöver ni hjälp med ert säkerhetsskydd? Vi hjälper dig!

 

New call-to-action

Om oss

På Advenica specialiserar vi oss inom cybersäkerhet på högsta säkerhetsnivån - för en säkrare värld.

Kontakta oss

Här hittar du allt du behöver för att komma i kontakt med rätt person på Advenica!

Skärpning av säkerhetsskyddslagen

Ett förslag på en skärpning av säkerhetsskyddslagen har presenterats och föreslås träda i kraft den 1 december 2021.

Hur kommer man igång med arbetet med informationssäkerhet?

Dagens digitala värld ställer nya, högre krav på informationssäkerhet. Vet du hur du ska komma igång med informationssäkerhetsarbetet?

Datadioder

Advenicas datadioder med hög assurans skyddar tillgångar för aktörer inom kritisk infrastruktur och försvarsindustrin