Blogg

Så skyddar du informationen i din organisation

Organisationer som vårdar sin information på ett säkert sätt kombinerar IT-säkerhet och informationssäkerhet. IT-säkerheten har fokus på programvaror och system, medan informationssäkerheten sätter människan och vår information i centrum. Medarbetare måste förstå varför informationen är värdefull, hur deras agerande i det vardagliga arbetet utsätter informationen för risk och vilken påverkan det kan få om informationen hanteras felaktigt.

Checklista för informationssäkerhet  Detta måste ingå i din riskanalys  Kvalitetssäkra din uppgiftshantering Hämta checklistan nu Det är vanligare att organisationer har investerat i IT-säkerhet jämfört med informationssäkerhet. Att ha en bristfällig informationssäkerhet är att vara helt blind i sin organisation. Du lever i en falsk förhoppning, eftersom du är nöjd med att ha en implementerad IT-säkerhet, men du vet ingenting om hur informationen hanteras. 

Behåll inte information i onödan, det är att utsätta din organisation för sårbarhet.

Pilotprojekt för säkerhetsfunktionell lösning 

Att jobba “informationssäkert” innebär att implementera processer och rutiner som är funktionella för medarbetarna. Det första steget för att komma igång är att identifiera potentiella risker. När det är gjort kan du börja testa olika teser rörande arbetet med informationssäkerhet genom pilotgrupper. Pilotgrupperna gör det möjligt att utvärdera olika processer utan att påverka hela organisationen.

När du testar, gör det gärna genom att utvärdera flera jämförelsegrupper och användarfall. Då kommer du kunna identifiera olika beteenden som är viktiga att få koll på. Lösningen för hur just ni ska arbeta med informationssäkerhet kommer behöva skräddarsys. Genom att testa och jämföra får du därför en bra bild av hur ni kan utforma era processer. Testa till exempel att krypteringen fungerar så som det är tänkt när ni kommunicerar med externa personer. Rätt testning och erfarenhet är extremt viktigt eftersom det annars kan få allvarliga konsekvenser. Om informationen inte är skyddad och tillgänglig på rätt sätt kan det i värsta fall påverka ert rykte och leda till ekonomiska förluster.

När funktionerna och processerna har optimerats i pilotgrupperna kan ni successivt börja implementera säkerhetsarbetet i större skala inom organisationen.

Verktyg för informationssäkerhet 

Det finns mycket att tänka på och att göra när det kommer till informationssäkerhet. Om du har koll på de fyra punkterna nedan har du kommit en bra bit på vägen med att skydda er information.

  1. Ha kännedom om din data. Vad är det för typ av information organisationen jobbar med? Identifiera känsligheten på er värdefulla information utifrån konfidentialitet, integritet och tillgänglighet.

  2. Skydda din data. Klassificiera och skydda känslig information.

  3. Förhindra dataförlust. Säkerställ att organisationen inte förlorar information, alternativt säkerställ beredskap att kunna ta tillbaka information som är förlorad. Dataförlustfunktionalitet (data loss prevention) kan till exempel innebära en automatiserad varning i systemet när medarbetare skickar känslig information utanför organisationen - eller till och med att den känsliga informationen automatiskt exkluderas i samband med extern mailkonversation.

  4. Styr din data. Med statistik kan du hålla koll på om din information är klassad som känslig, eller värdefull. Informationsklassificiering ger dig överblick och kontroll. 

Dessutom kan du tillämpa monitorering och audit-funktion i din informationssäkerhet i syfte att spåra din känsliga information och hur den arbetas med.

Praktiska exempel på hur du kan skydda din information 

Avslutningsvis tänkte vi skicka med tre exempel på hur du, rent konkret, kan skydda din information:

  1. Compliance (efterlevnad). Behåll inte information i onödan, det är att utsätta din organisation för sårbarhet. Information har en livscykel, implementera rensningsrutiner för att radera information. På samma sätt är det viktigt att säkerställa att spara information som har specifika regulatoriska krav för arkivering.

  2. Expiration policy (utgångspolicy). Sätt i system att värdera vilken information som ska behållas och vad som ska raderas. GDPR är ett exempel att förhålla sig till i en organisations expiration policy.

  3. Governance (styrning). Det ska finnas en dedikerad intern funktion som ansvarar för att övervaka och följa upp användandet. Exempelvis upptäcka felaktigt beteende. Många företag saknar en organisation för detta, det är vanligt att medarbetare fått detta som en extra uppgift vid sidan om ordinarie arbetsuppgifter. Tydlig och prioriterad rutin för styrning är ett viktigt säkerhetsarbete som minskar påfrestningen på en organisation när en incident inträffar. 

David Effemey
Skrivet av

David Effemey

Jag jobbar som Sharepoint och collaboration expert som för det mesta driver projekt och ser till att beställarna får det de behöver. Sista åren har jag även haft mycket fokus på Informationssäkerhet och Compliance.

Se alla inlägg av David Effemey
Prenumerera på bloggen

Få uppdateringar om nya inlägg

Vill du veta mer om våra pågående projekt och aktuella branschtrender? Vi berättar även om våra olika erbjudanden och sättet vi arbetar på för att hjälpa våra kunder att digitalisera sina verksamheter.

Fyll i din e-post för att prenumerera

Relaterat innehåll

Läs mer och låt dig inspireras

I vår kunnskapsbank har vi samlet vår beste innsikt fra det nordiske markedet. Her finner du vår svenske blogg og guider, samt våre norske kundecase.

Til bloggen