Hur startas en process för IT-säkerhet?

Allt som oftast stöter vi i våra kundåtaganden dock på organisationer och verksamheter där IT och informationssäkerhetsarbetet är kraftigt eftersatt, inte minst från ledningshåll. Ett vanligt scenario är att verksamhetsledningen har svårt att ta till hur stor påverkan IT-relaterade risker och incidenter faktiskt har för organisationens dagliga verksamhet.

Detta inlägg tar utgångspunkt från de många medelstora IT-organisationer där ovanstående är ett tydligt faktum.

Vad är IT-säkerhet?

Låt oss inledningsvis för den oinvigde definiera IT-säkerhet lite kort. Normalt definieras begreppet IT-säkerhet genom följande tre områden:

• Sekretess (confidentially): skydd mot otillåtet avslöjande eller röjande av information, till exempel avlyssning, stöld.
• Integritet (integrity): att förhindra oönskad förändring av information, system eller applikationer, till exempel ändring, kopiering, förfalskning.
• Tillgänglighet (availability): skydd mot störningar, som avsiktligt eller oavsiktligt innebär att behöriga inte kan beredas åtkomst till önskad information eller system.
• Med dessa definitioner som grund kan organisationers säkerhetsnivåer identifieras, kvantifieras och kontrolleras.

Säkerhet en del av verksamhets- och IT-styrning

Företagets, myndighetens eller kommunens ledning är alltid ytterst ansvarig för att hantera de verksamhetsrisker som föreligger. Detta är en del av hur verksamhetens styrs, och beträffande IT specifikt en del av verksamhetens IT-styrning. Detta ansvar innefattar ansvaret för den totala informationssäkerheten för verksamheten. Ofta delegeras detta ansvar till en dedikerad roll med ansvar för att driva säkerhetsarbetet. För vissa verksamheter, såsom större organisationer samt bank, finans och forskningsintensiva organisationer finns ofta stora säkerhetsgrupperingar särskilt från IT som aktivt arbetar med säkerhetsfrågorna.

Men faktum kvarstår, det är ledningens samt om man verkligen ska spetsa till det även styrelsens (aktiebolag) ansvar att hantera risk.

För medelstora organisationer är ofta ansvaret för säkerhetsfrågorna mindre tydligt delegerat. Inte sällan är ledningens insikt och kännedom kring säkerhetsfrågorna lägre och en allmän förväntan att IT skall hantera säkerhetsfrågor är vanlig.

Ett tydligt problem med detta förfarande är att ett aktivt säkerhetsarbete ofta går på kontrakurs mot IT-funktionens övriga ansvar – att leverera en kostnadseffektiv och funktionell IT-plattform för organisationen.

Ett förhållande likt ”jäv” uppstår vilket ofta innebär att säkerhetsarbetet blir det som får stryka på foten.

Ett annat tydligt problem för de lite mindre organisationerna är att förutsättningarna och kraven avseende säkerhetsnivå inte kommuniceras tydligt från ledning. Utan tydliga krav på förväntad säkerhetsnivå och med tidigare omnämnt ”jäv” sitter IT i en svår sits.

Ofta får detta till resultat att IT driver säkerhetsarbetet i bästa fall enligt en egen tolkning av vad IT tycker är ”gott nog”.

Balansera investeringarna i IT-säkerhet

Hur uppnår man då en nivå på sitt säkerhetsarbete som är ”gott nog”?

Investeringar och satsningar inom säkerhetsområdet måste alltid sättas i ett ekonomiskt perspektiv för att vara relevanta. Investeringarna för att skydda företagets information, applikationer eller för företagets samlade IT-resurser som helhet bör aldrig överstiga värdet av den information som säkerhetskontrollerna avser att skydda. I en sådan situation har företaget överinvesterat inom säkerhet. Försäkringspremien är alltså högre än tillgången den skyddar.

Likaså bör inte investeringarna inom IT-säkerhet vara oskäligt låga jämfört med värdet av informationen som skyddas, då detta kan resultera i att otillräckliga kontroller införs till syfte att skydda informationen.

Generellt vid införandet av kontroller i ett riskhanteringsperspektiv, som området IT-säkerhet representerar, bör en grundlig riskanalys ligga till grund för vägledning om förhållningssättet kring utformningen av kontrollerna. I praktiken innebär detta riktlinjer för vilka risker som skall minimeras, transfereras eller accepteras.

Säkerhetsarbetet skall alltid i möjligaste mån utgå från aktiva val. Det är de risker som vi inte aktivt väljer att ta ställning till som riskerar få störst påverkan om risken utlöses och inträffar.

Hur kontrolleras riskerna?

Begreppet kontroller innefattar de processer, procedurer och verktyg som krävs för reducering av risk till en önskvärd nivå. Efter att organisationens risker har identifierats utformas kontroller i syfte att reducera dessa risker.

Nedan återges tre exempel på kategorier av kontroller som är vanligen förekommande för att hantera risk.

• Administrativa kontroller
  Policies, standards och riktlinjer. De administrativa kontrollerna utgör grunden för, samt ger förutsättningarna för, utformningen av fysiska och tekniska kontroller.
• Fysiska kontroller
  Säkerhetskontroller av fysisk karaktär, såsom lås, inpasseringsskydd eller liknande.
• Tekniska kontroller
  Kontroller som införs i eller genom antingen hårdvara eller mjukvara. Exempel på tekniska kontroller är lösenordsskydd och kryptering av information samt nyttjande av antivirus program eller liknande.

Hur börjar man?

Hur man som IT-chef eller säkerhetsansvarig inom IT på en medelstor organisation sitt säkerhetsarbete på ett lämpligt sätt? Förenklat handlar det ofta om att inkludera IT-säkerhet som en del i verksamhetens IT-styrning. Processen för att komma ingång kan till exempel grovt summeras enligt nedan:

• Genomför en inledande riskanalys av IT
• Synliggör kopplingen mellan identifierade IT-risker och verksamhetsrisker mot ledning
• Utforma och inför kontroller för de identifierade riskerna
• Kommunicera resultat och framsteg mot ledning

När de första stegen sedan är tagna är det dags att börja etablera en process för säkerhetsarbetet inom organisationen. Charmen med säkerhetsområdet är det saknar början och slut – risker förändras alltid och så gör även en IT-organisations säkerhetsarbete.