Värdefull information måste skyddas
Information är en grundläggande byggsten i en organisation, på samma sätt som medarbetare, lokaler och utrustning. Information uttrycker kunskap eller budskap i en konkret form. Vi kan kommunicera information, vi kan lagra den, vi kan förädla den och vi kan styra processer med den – vi behöver den helt enkelt för det mesta vi gör.
Därför är information värdefullt och behöver skyddas efter behov. Information kan vara värdefull både för organisationer och för den enskilda människan, ibland är den till och med livsviktig. Blir sådan information förlorad eller felaktig kan det få katastrofala följder.
Vi behöver skydda vår information, så att:
- att den alltid finns när vi behöver den (tillgänglighet)
- att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (integritet)
- att endast behöriga personer får ta del av den (konfidentialitet)
Notera att även ett system, till exempel ett industriellt styrsystem, om det klassats som en skyddsvärd tillgång bör skyddas på detta sätt. I det fallet är det alltså inte information man skyddar utan systemet i sig.
Läs mer om hur du kan skydda din digitala information!
Vad innebär informationssäkerhet?
Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, och i rätt tid. Information ska inte kunna hamna i orätta händer och missbrukas. Informationssäkerhet gäller såväl hos enskilda personer som hos organisationer, både i näringslivet och i offentlig verksamhet. Informationssäkerhet omfattar därför hela samhället.
Är det verkligen skillnad på cybersäkerhet och informationssäkerhet?
Ett av huvudskälen till att dessa två termer används omväxlande är att både cybersäkerhet och informationssäkerhet är relaterade till säkerhet och säkert förvar av ett datorsystem mot datahot och informationsintrång.
Men medan cybersäkerhet handlar om att skydda nätverk, enheter, program och data från attacker eller obehörig åtkomst, handlar informationssäkerhet framför allt om att förhindra att information läcker, förvrängs och förstörs. Informationssäkerhet handlar också om all data, oavsett form. Detta innebär att inom informationssäkerhet är det primära problemet att skydda uppgifternas konfidentialitet, integritet och tillgänglighet. Inom cybersäkerhet är det primära problemet att skydda mot obehörig elektronisk åtkomst till data.
Läs mer om Cybersäkerhet!
Informationssäkerhet skyddar dina tillgångar
Det ökande beroendet av informationsteknik innebär ökade risker – det sker en tydlig ökning av incidenter såsom dataintrång, bedrägerier och spridning av skadlig kod. Bakomliggande aktörer utgörs av enskilda individer men också i form av organiserad brottslighet, terrorister och statsmakter.
För att skydda sig och sina tillgångar behöver man arbeta med informationssäkerhet.
Vad kan bristande informationssäkerhet leda till?
Bristande informationssäkerhet kan få konsekvenser i form av att verksamheten inte kan bedrivas på ett ändamålsenligt och effektivt sätt, bristande skydd för den personliga integriteten samt störningar i samhällsviktig verksamhet.
Brister i informationssystem kan också påverka fysiska tillgångar. Skador på den kritiska infrastrukturen kan få ödesdigra följder. Incidenter som leder till oförmåga eller förstörelse av sådana system och tillgångar kan leda till allvarliga kriser som drabbar de finansiella systemen, allmänhetens hälsa, den nationella säkerheten eller kombinationer av dessa.
Det kan även leda till ett försämrat förtroende för tjänster och bakomliggande aktörer. Allvarliga och upprepade störningar kan leda till förtroendekriser, som också kan sprida sig till fler aktörer och tjänster och även till andra sektorer.
Kort sagt – bristande informationssäkerhet får konsekvenser som är för höga för att försummas.
Läs mer om vad en bristande informationssäkerhet kan leda till i vårt blogginlägg!
Systematiskt informationssäkerhetsarbete – vad är det?
Alla organisationer och företag lever och verkar i en miljö där man utsätts för olika typer av risker inom olika områden. Finansiella risker, processrelaterade risker, teknikrelaterade risker, personalrelaterade risker och legala/juridiska risker är alla exempel på risker som många organisationer dagligen arbetar med att hantera.
Arbetet med informationssäkerheten ska på samma sätt som annan riskhantering sträva efter att identifiera och hantera de risker man utsätts för inom området informationssäkerhet.
Genom ett systematiskt arbete med informationssäkerhet kan organisationer öka kvaliteten i och förtroendet för sin verksamhet. Att utgå från etablerade standarder i arbetet med informationssäkerhet ökar chansen att lyckas väl.
Arbetet med informationssäkerhet omfattar att införa och förvalta administrativa regelverk så som policys och riktlinjer, tekniskt skydd med bland annat brandväggar och kryptering samt fysiskt skydd med till exempel skal- och brandskydd. Det handlar om att ta ett helhetsgrepp och skapa ett fungerande långsiktigt arbetssätt för att ge organisationens information det skydd den behöver.
Vem behöver arbeta med informationssäkerhet?
Det enklaste och kanske uppenbara svaret är att alla organisationer har känslig information som är sårbar för cyberattacker. Det är därför det är viktigt för alla att vidta åtgärder för att förbättra sitt arbetssätt och minska risken att bli drabbad av en cyberattack. Vissa kritiska sektorer är oftast i rampljuset när det gäller cybersäkerhet:
Myndigheter och kritisk infrastruktur
Cybersäkerhet är avgörande för myndigheter och andra organisationer som direkt påverkar nationens – eller världens – välbefinnande och säkerhet.
Kritisk infrastruktur har många nationella effekter på säkerheten. Cyberattacker mot kritiska infrastruktursektorer kan vara katastrofala och orsaka fysisk skada eller allvarliga störningar i tjänsterna. Lyssna på vårt webinar om hur informationssäkerhet är en viktig del i vårt totalförsvar!
Företag som faller under olika bestämmelser och regler
Många organisationer arbetar under statliga eller branschspecifika bestämmelser som innehåller en cybersäkerhetskomponent. Dessa standarder säkerställer att företag vidtar försiktighetsåtgärder för att skydda konsumenternas data, och till och med data från känsliga myndigheter samt militära uppgifter, från cybersäkerhetshot.
Kommuner och regioner
Det krävs även idag av kommuner och regioner att de har ett konsekvent arbete med informationssäkerhet. I en kommun hanteras mycket känslig digital information – privat sådan som inga obehöriga bör kunna se. En ransomware-attack kan förändra detta på en sekund – med resultatet att medborgarnas integritet och sekretess inte längre är säker. För att inte skadas av attackerna måste en kommun i stället arbeta med informationssäkerhet på ett konsekvent och strukturerat sätt.
Business to Business (B2B)
Om ditt företag anses vara ett litet till medelstort företag kan du ha större kunder som börjar utföra riskbedömningar från tredje part på sina leverantörer (som inkluderar dig). Detta innebär att de börjar kräva att alla deras leverantörer uppfyller vissa nivåer av cybersäkerhet. Detta blir allt oftare det som gäller eftersom större organisationer arbetar hårt för att skydda sig själva, eftersom de vet att mindre organisationer är i riskzonen och kan fungera som en kanal för angripare till de större organisationerna.
Lagstiftning som kräver att man arbetar med Informationssäkerhet
Under de senaste åren har många nya bestämmelser, så som NIS-direktivet och striktare nationell säkerhetslagstiftning, implementerats.
NIS-direktivet syftar till att främja säkerhetsåtgärder och öka EU-medlemsstaternas skyddsnivå för kritisk infrastruktur. Med andra ord förbättrar det informationssäkerheten för operatörer inom sektorer som tillhandahåller viktiga tjänster för vårt samhälle och ekonomi.
Säkerhetsskyddslagen klargör skyldigheterna för företag med säkerhetskänslig verksamhet och vikten av att operatörerna utför säkerhetsskyddsanalyser för sin verksamhet.
2020 trädde de nya EU-riktlinjerna avseende cybersäkerhet för banker i kraft. Nu är det tydligare hur olika finansiella tjänster ska kunna hantera interna och externa risker kopplade till IT och säkerhet.
Och det finns nu också ett förslag om obligatoriska justeringar i Livsmedelsverkets regler om informationssäkerhet för socialt viktiga tjänster. Detta förslag gäller främst kommunala förvaltningar, företag och förvaltningar som äger ett offentligt vattenförsörjningssystem och därmed tillhandahåller offentligt dricksvatten.
Hur börjar man jobba med informationssäkerhet?
För att höja beredskapen finns nu nya lagar. Dessa ställer krav på aktörer som levererar samhällsviktiga tjänster att höja informationssäkerheten. Det är dock inte alltid så lätt att veta var man ska börja. Därför kommer här åtta råd som ser till att du kommer i gång på rätt sätt.
Inse att informationssäkerhet innebär mer än teknik
Idag hanteras mycket information i IT-system, vilket ofta medför att informationssäkerhet likställs med IT-säkerhet. Men, människor och processer måste också inkluderas, och alla delar är lika viktiga för att lyckas. För att skapa ett hållbart skydd krävs systematiskt och kontinuerligt arbete utifrån tillgångar, hot och risker.
Informationssäkerhetsarbetet bör kopplas till organisationens riskhantering
Allt säkerhetsarbete bör bottna i hur organisationen hanterar risker i den miljö där organisationen lever och verkar. Informationssäkerhetsrelaterade risker ska behandlas likadant som övriga risker.
Säkerställ att ledningen tar ansvar för informationssäkerheten
Ansvaret för säkerhetsarbetet måste alltid ligga hos ledningen, eftersom endast ledningen kan ta ett beslut att inte göra något åt säkerhetsriskerna. Med tanke på hur cyberattackerna ökar innebär ett beslut att inte investera i informationssäkerhet att man som verksamhet och ledning tar en oerhört stor finansiell risk.
Se över rutiner och processer
Informationssäkerhet omfattar hela organisationens verksamhet och all information oavsett om den finns i datorer eller på papper. Börja kartlägga processer och rutiner, vem som har tillgång till vilken information och vilka system samt nivån på dagens säkerhetstänk.
Säkerställ rätt resurser
Informationssäkerhetsarbetet måste bedrivas systematiskt och kontinuerligt för att säkerställa en tillräcklig nivå av informationssäkerhet i organisationen. För framgångsrikt informationssäkerhetsarbete bör du säkerställa både ledningens engagemang och rätt resurser.
Inled informationssäkerhetsarbetet med en analys
Systematiskt informationssäkerhetsarbete måste alltid anpassas efter en organisations specifika omständigheter. Att börja med att analysera både omvärlden och den egna verksamheten rekommenderas. Baserat på resultatet kan beslut tas om vilka säkerhetsåtgärder som måste implementeras.
Utveckla en säkerhetspolicy (denna hjälper dig att upprätthålla informationssäkerhet)
Styrdokument såsom en säkerhetspolicy är det formella ramverket för organisationens informationssäkerhetsarbete. Dessa bör specifikt ange vad som ska vara tillgängligt, vilka åtgärder som ska vidtas och hur arbetet ska gå till.
Ta hjälp av dem som kan informationssäkerhet
Att komma i gång med ett systematiskt informationssäkerhetsarbete är ett stort projekt som kan kännas lite övermäktigt att driva helt själv. Har du möjlighet så ta hjälp av dem som kan allt om informationssäkerhet.
Lär dig mer om våra 8 råd om hur du kommer igång med informationssäkerhetsarbetet – ladda ned vår guide!
Behöver du hjälp med ditt informationssäkerhetsarbete? Vi kan hjälpa dig!
