Fyra tips för bättre Informationssäkerhet

Informationssäkerhet är som städning – det blir aldrig klart. Resultatet är bara temporärt. Det krävs bra planering och uthållighet för att smutsen inte ska få fäste. Men var ska du börja? Här kommer fyra tips att börja med, när det gäller informationssäkerhet.

1. Höj samtliga medarbetares medvetandenivå

Idag skickas en hel del sekretess och känsliga personuppgifter i epost. Det klickas på lurendrejeri-länkar. Busar som låtsas vara chefer, poliser, banker eller andra som vi gärna vill lita på kontaktar oss och försöker försätta oss i en pressad situation, så att vi ska agera utan att tänka efter. Dessa risker minskar inte så medvetenheten och vaksamheten behöver öka. Alla som har personalansvar behöver agera motor så att medarbetarnas säkerhetsmedvetande höjs. De behöver följa upp att varje medarbetare har rätt kompetensnivå för sin roll. En DISA-utbildning eller liknande vid anställning och minst en per år är det absolut minsta kravet på varje anställd som använder någon form av digital enhet. Ju större möjligheter att hantera verksamhetens skyddsvärda information, desto mer säkerhetsmedvetenhet behövs. 

2. Alla verksamhetschefer behöver förstå vad det innebär att huvudansvaret för informationssäkerheten  följer verksamhetsansvaret

Det ansvaret ligger inte på rollen som CISO. CISO ansvarar för att leda och samordna informationssäkerhetsarbetet. Att vara verksamhetschef idag är inte vad det varit. Även om chefen alltid varit ansvarig för den information chefens verksamhet behandlar, så ökar kraven med ökad digitalisering. Chefen behöver förstå vad det innebär att digitalisera verksamhetens informationsflöden och agera därefter. Saknas kompetensen behöver den införskaffas.  

3. Skapa en fungerande informations- och systemförvaltningsorganisation  

Jag rekommenderar alla CISOs, infosäksamordnare, chefer, objektägare, processägare, systemägare, m.fl. roller i samma härad att ta en rejäl strategisk funderare kring hur förvaltningsorganisationen ska bidra till det riskbaserade och systematiska säkerhetsarbetet. När informationssäkerhetsaspekten finns med i förvaltningsplanen, blir rätt prioriterad och får en beslutad budget finns en bra grund. Sen är det ”bara” att genomföra, följa upp och förbättra. 

4. Backa upp och se till att återläsningen fungerar 

Alla digitala enheter kan hackas och komprometteras. Om ni hamnar i ett läge där ni bara har möjlighet att genomföra en enda säkerhetshöjande åtgärd: fastställ hur ofta ni behöver ta backup på er information för att kunna fortsätta arbetet utan alltför stora svårigheter. Se till att backupen finns och är återläsningsbar inom rimlig tid. Då sitter inte hela skägget i brevlådan när smutsen hamnar i fläkten. 

 

Vill ni ha fler tips på hur ni kan förbättra er informationssäkerhet är ni välkomna att höra av er oss!