I alla organisationer är information en tillgång, och därmed också en risk. Ibland handlar det om livsviktig information, som patientjournaler eller information som styr samhällsviktiga funktioner. Även i näringslivet finns värdefull information som styr din organisation eller påverkar konkurrenskraften. Om den typen av information går förlorad blir konsekvenserna direkta för den enskilda människan, för organisationen och kan också ha påverkan på samhället i stort. Framförallt kan det bli kostsamt om din organisation ställs till ansvar för information som hamnar i fel händer.
Information har ett värde. Det innebär att information ska vara skyddad så att den finns tillgänglig på rätt sätt, att den är korrekt och pålitlig och att endast behöriga ska ha åtkomst. Skyddet ska vara anpassat till riskerna, så att information varken blir för komplicerat att jobba med eller för kostsamt att hantera.
På Accigo arbetar vi med att utveckla och implementera informationssäkerhet hos företag i olika branscher, t.ex bank och finans samt energi och fastighetsbranschen.
Skillnaden mellan informationssäkerhet och IT-säkerhet
Känner du att begreppen informationssäkerhet och IT-säkerhet är lite luddiga i förhållande till varandra? Du är inte ensam om det. IT-säkerhet handlar om säkerheten i er IT-infrastruktur och åtgärder för att skydda identitet, datorer, nätverk och data från åtkomst eller skada. Informationssäkerhet handlar om informationens värde och innebär hur informationen skyddas i det operativa arbetet, genom verktyg och arbetssätt hos medarbetarna. Till exempel att införa en säkerhetskultur, åtgärder för att hindra obehörig åtkomst genom sekretess, och balansen mellan att säkerställa dataintegritet (ingen obehörig ändring) och samtidigt ha en smidig datatillgänglighet (tillgänglig som förväntat).
Baserat på vår långa erfarenhet har vi identifierat åtta faktorer som är avgörande för din informationssäkerhet👇
1. För hårt låsta miljöer är en risk för informationssäkerheten
Informationssäkerhet handlar om att hindra obehöriga att få åtkomst till information. Men om miljöerna är för hårt låsta kommer även behöriga att ta genvägar för att jobba med informationen på ett enklare och smidigare sätt. Miljöerna behöver vara lagom hårt låsta så att informationen är möjlig att jobba med. För hårt låsta miljöer blir en risk för din informationssäkerhet.
2. Risken med tredjepartslösningar
När anställda hittar egna kreativa sätt att jobba på, t.ex. genom att använda tredjepartslösningar som inte ingår i organisationens IT-infrastruktur, ökar riskerna för företagets informationssäkerhet. En av organisationens främsta risker är att inte veta vilka lösningar som används. Därmed kan ni inte avgöra hur sårbara ni är. Vill det sig illa så innebär en havererad tredjepartslösning att ni inte har tillgång till er egen information som kan hamna i fel händer och missbrukas.
3. Det finns rutiner för IT-säkerheten, men inte för informationssäkerheten
Din organisations IT-säkerhet kan vara rigorös och genomtänkt men om säkerheten inte inkluderar medarbetarnas beteende och arbetssätt så finns stora brister och potentiella risker. Kanske har ni kopplat på tvåstegsverifiering på inloggningar, men dokument går att maila både internt och externt utan skydd. IT-säkerheten är tillgodosedd, men inte informationssäkerheten och därmed värdet av informationen.
4. Ingen pratar om informationssäkerhet i organisationen
Kulturen inom organisationen är en viktig framgångsfaktor för att upprätthålla en hög nivå av informationssäkerhet. Om ni aldrig pratar om vikten av informationssäkerhet internt så är risken högre att anställda missar att ta det på allvar. Ofta är det omedvetna handlingar, och misstag genom okunskap, som leder till intrång.
5. Överskyddade och underskyddade dokument
Var selektiv med vilken information som behöver skyddas så att dina medarbetare kan arbeta effektivt internt och externt. Att överskydda dokument hjälper inte din informationssäkerhet. Överskydd skapar frustration och ökar risken att medarbetarna hittar egna sätt att jobba med informationen. Starkare skydd av all information är inte bästa lösningen; däremot är det viktigt att veta vilken information som behöver skyddas och tydliga sätt att hantera det på.
6. Ingen plan för incidenthantering
Om det inte finns någon plan för incidenthantering i händelse av ett IT-brott, kommer organisationen att stå handfallen när en incident inträffar. En organisation utan incidenthantering utsätter sig själva för ytterligare skaderisk eftersom det inte finns någon plan för situationen.
7. För mycket fokus på sekretess
Information som inte är tillgänglig går inte att använda, därför är det viktigt att anpassa sekretessen utifrån både tillgänglighet och integritet. Ändringar i dokument ska kunna gå att spåras för att säkerställa att informationen är korrekt.
8. Informationssäkerhet uppfattas som svårt
Informationssäkerhet ses ofta som stort och läskigt. Det ligger i vår mänskliga natur att trycka undan känslor som rör det som är för stort och för jobbigt och konsekvenserna av svag informationssäkerhet kan bli enorma och resultera i förlorade tillstånd. Att skapa en kultur där samtal om informationssäkerheten och förståelse om påverkan är en del av vardagen och en självklar rutin avdramatiserar bilden av informationssäkerhet, och förbättrar den enbart genom att det pratas om och därmed medvetandegörs.
Genom att titta på allt informationsvärde inom en organisation, möjliga sårbarheter samt påverkan på din organisation om riskerna skulle inträffa - och förstå vilken data som lagras eller överförs av dessa tillgångar - kan en säkerhetsriskbedömning hjälpa till att prioritera vilka risker som är mest kritiska och som måste mitigeras först.