Företag och myndigheter utsätts för kontinuerliga dataangrepp från främmande makt. Vad göra för att skydda sin information? Säkerhetsexpert Mattias Nygren ger rådet att börja klassificera informationen för att veta vilken nivå på säkerhet man bör ha.
I skrivandets stund står A-kassorna förlamade och kan inte betala ut ersättning på grund av en riktad hackerattack mot deras IT-leverantör.
I kölvattnet på sanktionerna mot Ryssland har nu president Putin uppdragit till landets nationella underrättelseorganisation att intensifiera arbetet med underrättelseinhämtning från väst.
Vår egen underrättelsetjänst har därför uppmanat svenska bolag och myndigheter att ha hög beredskap för att möta IT-hotet.
Klassificera information
Att klassificera företagets information är viktigt för att veta vilka processer, metoder och tekniker som man behöver använda sig av för att skydda informationen. Det kan handla om att skydda affärshemligheter, kunduppgifter, patent eller att tillse att man inte hantera personuppgifter på ett felaktigt sätt.
I dagsläget finns det klassificeringsverktyg som gör det enkelt att ta reda på vilka typer av information som finns i ens verksamhet och vilken säkerhetsnivå de olika typerna ska tillhöra.
Att den information som är mycket viktig för en organisation eller vars påverkan skulle innebära stora konsekvenser för verksamheten ska ha det starkaste skyddet är självklart.
Vad många inte tänker på är att information som inte är känslig inte behöver samma skydd, vilket framför allt kan innebära billigare säkerhetslösningar.
Vad är det värsta som kan hända?
När man klassar information finns det fyra grundläggande säkerhetsaspekter att ta hänsyn till:
- Tillgänglighet; att informationen går att nå när man behöver den.
- Riktighet; att informationen är riktig och inte förvanskats.
- Konfidentialitet; att informationen bara nås av behöriga.
- Spårbarhet; att man ska kunna följa upp vem som gjort vad med informationen.
Ett klassificeringsverktyg hjälper till med informationsklassning, att ta fram en handlingsplan och ställa krav vid upphandling.
Informationsklassningen i verktyget hjälper företaget med att bestämma skyddsnivåer för informationen utifrån de lagar som påverkar organisationen (till exempel GDPR, NIS, PBL). Företagen får även hjälp att bedöma vilket skydd deras information har idag.
Vad gör man praktiskt?
Handlingsplan
När informationsklassningen är gjord får man ett förslag på handlingsplan, med krav på förvaltning av systemet och hantering av dess informationsinnehåll. Handlingsplanen kan ses som ett komplement till det vanliga systemförvaltningsarbetet, med tydliga krav på informationssäkerhet. Den stora fördelen är att den som arbetar med informationssäkerhet får en bättre översikt över arbetet.
Upphandlingskrav
Att känna sin information är inte minst viktigt för att kunna ställa krav vid upphandling. Visar det sig att den information man har till största delen ligger på en låg skyddsnivå kan ni köpa in en lösning med enklare säkerhet som därigenom blir billigare.
Utbildning
Jag föreslår att den som vill använda sig av ett klassificeringsverktyg går en därför avsedd utbildning innan man börjar arbeta med verktyget.
Sådan utbildning är främst avsedd för systemförvaltare; en verksamhetsnära roll med god kunskap om informationen i verksamhetens system men framförallt om vad det innehåller och hur det används.
Andra roller som är bra att ha med i ett klassningsprojekt är till exempel verksamhetsansvariga, informationssäkerhetssamordnare och personer som vet vilka krav som ställs på informationshanteringen.
Mattias Nygren
Mattias Nygren har under 15 år arbetat vid Polisens Nationella Insatsstyrka (NI). Han har därefter haft en karriär som säkerhetschef inom FN där han arbetat med valsäkerhet, matleveranssäkerhet, evakueringsplanering och skydd av FN:s personal och tillgångar. Han har erfarenhet av arbete i en rad olika högriskländer. Mattias grundade tillsammans med några kollegor från NI säkerhetskonsultföretaget 2Secure som i dag är en av landets ledande aktörer inom kvalificerade säkerhetstjänster för såväl privatpersoner som företag och myndigheter.
