Med tanke på digitaliseringsutvecklingen och det ökade informationsflödet kommer vi i detta blogginlägg ge rekommendationer på 10 saker som är nödvändiga att tänka på för att bedriva fram sitt informationssäkerhetsarbete.
Inom EU kännetecknas oktober som cyber- och informationssäkerhetsmånaden. Syftet med denna månad är att förmedla och uppmärksamma allmänheten samt organisationer om cyber- och informationssäkerhetsfrågor samt att ökad medvetenheten inom detta område.
Med tanke på digitaliseringsutvecklingen och det ökade informationsflödet kommer vi i detta blogginlägg ge rekommendationer på 10 saker som är nödvändiga att tänka på för att bedriva fram sitt informationssäkerhetsarbete.
Universitetet lagrar en mängd av information som berör studenter, personal och forskning. Dock saknas det ett systematiskt arbete och ledningssystem för informationssäkerhet som säkerställer att informationen är tillförlitlig, korrekt och fullständig.
Detta resulterar i att obehöriga personer har åtkomst till verksamhetskritiska informationssystem och -tillgångar. Utöver detta finns det även en stor brist i att skydda informationens konfidentialitet, integritet och tillgänglighet.
Genom att ha ett systematiskt informationssäkerhetsarbete skapas bildar företag och organisationer ett helhetsperspektiv på hur säkerhetsarbetet ska bedrivas framåt. En grund för detta arbete handlar om att skapa en förståelse för vilken typ av information som behandlas.
Genom att sätta krav är det möjligt att analysera hot och sårbarheter samt att risker kan identifieras och prioriteras. Baserat på detta kommer det vara möjligt att implementera lämpliga säkerhetsåtgärder för att hantera situationen samt att ett skydd säkerställs för informationens konfidentialitet, integritet och tillgänglighet.
Gunilla får ett mail skickat till sig där det står att hon behöver följa en länk för att hennes lösenord ska fortsätta gälla. Gunilla har haft samma lösenord sedan hon började arbeta på företaget och vill helst inte att det blir ogiltigt så hon klickar på länken. Vad hon inte vet är att detta är ett vanligt bluffmail och att hennes lösenord aldrig var i fara.
Nyckeln för att få cyber- och informationssäkerhetsarbetet att fungera är att säkerställa att personalen får kontinuerlig utbildning inom området samt öka deras medvetenhet. En av grundorsakerna till varför dataintrång uppstår är p.g.a. den mänskliga faktorn, detta är för att de oftast inte vet hur utbrett ett hot är eller vad de ska leta efter. Att öka säkerhetsmedvetenheten genom att utbilda personalen med den kunskap de behöver kommer resultera i att attackerna och hoten kommer att minimeras.
Det sker en incident angående personuppgifter på HR-avdelningen. Personuppgifter har tillkännagetts till fel personer och detta måste rapporteras. Tyvärr så har de flesta på avdelningen anställts efter att man tog fram policyn för incidenthantering och man vet inte om den finns. Företaget har också missat att utse ett dataskyddsombud så ingen har arbetat med frågorna sedan i maj 2018.
Att upprätthålla GDPR-efterlevnad kan upplevas som en komplex process som kräver ett djupgående arbete. Med stöd av GDPR-revisioner är det möjligt att få en inblick i hur väl organisationen efterlever kraven i förordningen. Revisionen ger också ett bredare perspektiv på cyber- och informationssäkerhetsarbetet inom organisationen samt dess mognadsgrad.
Organisationer fortsätter att arbeta med begränsad insyn i användaraktivitet och sessioner associerade med webbapplikationer, trots den ständigt närvarande risken för insiderhot och identitetsstöld.
Även om antagandet av webbapplikationer har resulterat i flexibilitet och ökad produktivitet så saknar organisationer implementeringen av nödvändiga säkerhetsåtgärder för att minska riskerna som kan uppstå.
Genom att anlita en tredjepartsrevisor som genomför säkerhetsgranskningar och revisioner är det möjligt att identifiera och göra en opartisk bedömning av säkerhetsluckor. Syftet med en sådan revision innebär att tredjepartsbedömaren kan utföra sårbarhetsbedömningar som inkluderar penetrationstester för att identifiera sårbarheter och svagheter i företag och organisationers nätverk, system och applikationer med stöd av ramverk såsom ISO 27001, PCI DSS, SOC 2®-rapporter.
Ett företag eller en organisation kan också genomföra interna revisioner för att bedöma så att lämpliga kontroller, policyer, rutiner, riskhanteringsprocesser finns tillgängliga.
Det är helg och ingen på företaget jobbar. Ett stort strömavbrott har lett till att flera av företagets servrar behöver startas om. De inhyrda teknikerna som är på plats vet inte vilka system som är viktiga och ska prioriteras eftersom ingen informationsklassning har gjorts.
Informationsklassificeringsprocessen kan ses som en kritisk del inom informationssäkerhet och efterlevnad. Denna form av aktivitet handlar framför allt om att identifiera vilka typer av informationstillgångar som en organisation tillhandahåller, bearbetar och dess känslighetsnivå. Informationsklassificering används ofta för att exempelvis identifiera information som regleras av efterlevnadsstandarder som GDPR.
Informationsklassificeringsprocessen erbjuder flera fördelar och det är ovärderligt att effektivt prioritera säkerhetskontroller och säkerställa lämpliga skydd av de mest kritiska tillgångarna. Klassificeringsarbetet underlättar också riskhanteringen för företag och organisationer. Många får möjligheten att kunna bedöma värdet av deras data och vilka effekter det skulle resultera i, om informationen skulle gå förlorade, missbrukas eller äventyras.
På den administrativa avdelningen finns en rutin för att ladda ned sekretessbelagda handlingar som man arbetar med och lägger upp dem i en mapp på sitt skrivbord. Ingen har tagit ansvar för vad som kan hända med informationen om den är lätt tillgänglig än om den ligger i ett diariesystem. Nu har Mats lämnat sin dator olåst medan han gick på toa och när han kom tillbaka har någon öppnat en av filerna.
Identifiera en informationsägare som har ett ansvar över och säkerställer att den information som bearbetas är riktig, tillförlitlig och att informationen delas på ett lämpligt sätt. Utöver detta har informationsägaren också ett ansvar för att riskhanteringen och för detta krävs det att man genomför en riskanalys.
Carin på ekonomiavdelningen kan inte längre lägga in fakturor i ett av ekonomisystemen. Eftersom systemet inte har följt de uppdateringar som behöver göras de senaste två åren så fungerar inte längre inskanningsfunktionen. Detta har lett till att hela ekonomiavdelningen för stunden står still och ingen kan göra sitt jobb.
Identifiera en person eller enhet som har ett övergripande ansvar för informationssystemen. Här krävs det även att systemägaren genomför en riskanalys. Baserat på resultaten som genereras från riskanalysen och de krav som ställs från informationsägaren om vilka skydd som krävs har systemägaren ett ansvar över att lämpliga skyddsåtgärder tillämpas.
Organisationen har nyligen anställt sin tredje informationssäkerhetsansvarig på 1 år. Nu har även den här personen valt att säga upp sig och hävdar att det inte går att få igenom något av relevans i företaget. Ledningen förstår inte alls vad problemet är. De är ju alla bara för upptagna för att tacka ja till mötesbokningarna om ”infosäkuppdateringar” de får.
För att kunna göra skillnad och bedriva informationssäkerhetsarbetet på bästa möjliga sätt inom organisationen är det viktigt att ledningen är stöttande och håller sig uppdaterad kring hur informationssäkerhetsarbetet ska bedrivas och vilka resurser som krävs för att uppnå målsättningarna och ambitionerna som är satta för säkerhetsarbetet.
Ledningen behöver inte vara experter på informationssäkerhetsområdet men ha en grundförståelse för vad som innebär med säkerhet och ha ett samspel med den som är informationssäkerhetsansvarig inom organisationen för att kunna ställa rätt frågor och fatta rätt beslut.
Gunilla som jobbar i receptionen har klickat på en länk i ett mail. Nu är incidenten ett faktum men hennes arbetsledare vet inte alls vart han borde rapportera detta. Det enda han vet är man inte borde klicka på mail som skickas från it_avdelningen@hotmail.com, men vad ska han göra nu?
De ökade säkerhetsproblemen som ransomware-attacker och dataintrång gör det allt viktigare för företag och organisationer att utveckla och etablera en incidenthanteringsplan. Med stöd av planen kommer det var möjligt att kunna återgå till det normala så snabbt som möjligt efter en oplanerad händelse.
En incidenthanteringsplan kan identifiera svagheter inom ett företag eller en organisation samt presentera hur det går att mildra effekterna av olika situationer och begränsa skadorna som kan uppkomma på organisationens rykte, ekonomi och verksamhet.
Det är början på december och på ett företag som packar julkorgar åt kommuner har 60% av personalstyrkan på förpackningsavdelning fått vinterkräksjukan. Detta har aldrig hänt förut och företaget vet inte hur de ska agera eller hur det ska hinna med alla leveranser de har kvar att göra.
Utveckla en kontinuitetsplan som hjälper och vägleder personalen om hur de ska agera när en störning uppstår i en kritisk resurs eller aktivitet. Med stöd av en kontinuitetsplan kommer företag och organisationer ha förmågan att upprätthålla och bedriva sin verksamhet på en tolerabel nivå och kunna återställa sin verksamhet på snabbast möjliga sätt. Planen tydliggör också ansvaret för kritiska delar av organisationen.
Har du fler frågor om säkerhetsarbete i din organisation? Kontakta Midagon här så hjälper vi dig.
Det första intrycket är viktigt. Både när vi möter nya människor och när vi kommer in på vår nya arbetsplats ...
Läs bloggen
Som IT-ansvarig är en allt viktigare uppgift att onboarding och offboarding fungerar smidigt och effektivt. Det är inte bara en ...
Läs bloggen
Vad kan myndigheter och verksamheter göra för att minimera säkerhetsriskerna och att information kommer i fel händer? Att säkra upp ...
Läs bloggen
