Ett planerat systembyte är ett givet tillfälle att se över sin informationssäkerhet. Analysera och använd resultatet som inspel i planering och beslut kring införande av nytt system. Bland annat kring vägvalet mellan en molnbaserad lösning eller inte.
I bästa fall är informationssäkerhet redan en integrerad del i verksamheten, i näst bästa fall har ett strukturerat arbete för att säkra informationstillgångarna påbörjats. För de organisationer som är medvetna om vikten av frågan, men av olika skäl inte kommit i gång ännu, blir ett förestående byte av systemstöd en naturlig anledning att ta itu med de analyser och bedömningar som behöver göras för att kunna skydda information och system.
En fråga om riskhantering
För att kunna tillgodogöra sig digitaliseringens möjligheter behövs en balansering av de risker som utvecklingen innebär. Idag vet vi att hotet är en realitet, intrångsförsök riktade mot nätverk och uppkopplade enheter pågår konstant runt om i samhället. Fastighets- och affärssystem utgör inga undantag. Skadan kan vara påtaglig, både för organisationen och kunder, och kan – beroende på typ av verksamhet – även få konsekvenser på samhällsnivå.
Nyckeln är att göra sin hemläxa i det förebyggande arbetet genom att förstå
- hot och risker
- värdet av information
- behovet av skydd
Frågan organisationen behöver ställa sig är Vad vill vi inte ska hända, vad ska vi undvika? På så sätt finns förutsättning för att hantera de risker och sårbarheter som kan finnas i verksamheten.
Ett planerat systembyte är ett givet tillfälle att se över sin informationssäkerhetsanalys eller ta fram en sådan om det inte gjorts tidigare. Resultatet blir ett viktigt inspel i planeringsarbetet och de beslut som behöver fattas inför implementation av ett nytt system. Bland annat för att göra vägvalet mellan en molnbaserad lösning eller en lösning on-premises.
Verksamheten i en rättslig kontext
Ett första steg i analysen är att inventera vilka rättsliga regelverk verksamheten omfattas av Det finns en rad lagar, förordningar och föreskrifter med bäring på informationssäkerhet. Det är viktigt att känna till vad som gäller för den egna organisationen, inte minst för att säkerställa regelefterlevnad.
För organisationer som omfattas av säkerhetsskyddslagen eller organisationer som bedriver samhällsviktig verksamhet gäller särskilda krav. Vägledningar och metodstöd för informationssäkerhet i den här typen av verksamheter tillhandahålls bland annat av Säkerhetspolisen, Försvarsmakten och Myndigheten för samhällsskydd och beredskap (MSB).
Hantering av GDPR
Det finns ett antal andra områden med rättsliga krav kopplat till hantering av information och säkerhet i informationssystem, såsom dataskydd, allmänna handlingar och sekretess, arkiv, hälso -och sjukvård, elektronisk kommunikation och digitala tjänster, för att nämna några. Det som många nog tänker på i första hand är hantering av personuppgifter som regleras av GDPR.
För att veta vad just din organisation behöver förhålla sig till inför och efter systembytet behövs alltså en analys utifrån ett regelverksperspektiv.
Informationsklassning – bedömning av informationens skyddsnivå
Informationssäkerhetsarbete handlar om att ta ansvar för att verksamhetens system och att information har rätt skydd. Information är en kritisk tillgång i alla organisationer och viss information är mer skyddsvärd än annan. Frågan styrs av såväl externa och interna krav som av verksamhetens och kunders behov och förväntningar på att information är korrekt och tillgänglig när den behövs samt att känslig information skyddas från obehörig åtkomst.
Informationsklassning är den metod som användas för att bedöma informationens skyddsvärde. Kort sagt innebär det att verksamheten bedömer vilka konsekvenser det skulle få – för organisation, kunder och andra intressenter – om en viss typ av information blir exponerad för obehöriga, inte är korrekt eller oåtkomlig när den behövs. Inom informationssäkerhet talar man om de tre aspekterna konfidentialitet, riktighet och tillgänglighet.
Förutsättning för informationsklassning är att det finns en samlad och kvalitetssäkrad bild av vilken information som kommer att hanteras i det framtida systemet och hur informationsflödet till och från andra systemstöd i verksamheten kommer att se ut. I föregående artikel i vår End of Life-serie med titeln Del 3: End of Life – Informationsperspektivet belyser vi just dessa aspekter.
Ägarskap av informationen
I samband med klassningsarbetet är det också klokt att se över frågan om informationsägarskap som ibland behöver förtydligas. Resultatet av klassningen, tillsammans med genomförda riskanalyser, ger en inriktning för vilka krav på skydd som ska ställas och vilka säkerhetsåtgärder som behöver vidtas.
Stödmaterial tillhandahålls till exempel av Sveriges kommuner och regioner (SKR) i form av metodverktyget KLASSA och av Myndigheten för samhällsskydd och beredskap (MSB) som bygger sitt metodstöd på standarden ISO/IEC 27001 Ledningssystem för informationssäkerhet.
Praktiska exempel på informationsklassning
Offentliga fastigheter (OF) publicerade förra året skriften Informationssäkerhet i fastighetsorganisationer som bland annat tar upp metoder för kartläggning och klassning av information och ger praktiska exempel på informationsklassning. Just nu pågår arbete med framtagning av ytterligare en skrift med tema säkerhet i informationsmiljöer som riktar sig till fastighetsorganisationer och som kommer att publiceras senare i år.
Alexandra Lindgren
Meta