Vad är det viktigaste i arbetet med informationssäkerhet?

Marie Ann Östlund
  • Marie Ann Östlund

Att ni börjar. Informationssäkerhet låter som något komplicerat och besvärligt - och kostsamt. Så behöver det inte alls vara. Genom att jobba långsiktigt och metodiskt kommer ni inte bara säkerställa att lagkrav uppfylls, ni kommer även att få ordning bland dokumenten och bra rutiner för att hantera alla typer av information.

Ordning i hur ni hanterar dokument i verksamheten ökar inte bara harmonin i det dagliga arbetet utan gör det både lättare att dela information internt och samarbeta med andra organisationer. Att ha bra koll på era dokument är därför både en fråga om säkerhet, att se till att endast behöriga personer kan komma åt känslig information, och en förutsättning för att kunna dela rätt information på rätt sätt både internt och till externa parter, som vid olika projekt och innovationssamarbeten. Att säkra information är viktigt, men även att inte låsa in relevant information för att man tar det säkra före det osäkra. 

Hur får man bra resultat? 

För att få till ett bra resultat är det extra viktigt att ledningen inte bara är med på tåget utan sitter i förarsätet. 

Informationssäkerhetsarbete är en verksamhetsfråga, inte en IT-lösning. Att ändra rutiner är ett förändringsarbete som påverkar hela verksamheten och bör hanteras på det sättet. Ledningen behöver därför äga eller ta ansvar för det förändringsarbetet, och både se till att kommunicera målbilden från början av projektet och att medarbetare involveras och informeras. 

Gör en kartläggning 

När ni väl ska börja arbetet är första steget att göra en kartläggning av den information som finns och hur den hanteras idag. Det kan ni även behöva göra för att få fram ett beslutsunderlag. Det finns flera sätt att jobba fram en kartläggning beroende på vilken verksamhet det gäller, storlek, och typ av information som hanteras. Klassas verksamheten som säkerhetskänslig så finns det även specifika lagkrav som behöver uppfyllas. Steg ett är dock fortfarande att göra en kartläggning. 

  • Gör först en inventering av de informationstillgångar ni har, vilka som använder dem, för vilket syfte och hur. Försök att inte gå in på allt för stor detaljnivå utan kategorisera informationen utifrån olika rubriker, som t ex personuppgifter, olika typer av rapporter, ritningar, ekonomisk information, kunddata, och rita upp en karta för hur informationsflödet ser ut. Olika typer av information hänger även ihop. Syftet är att få en generell bild av vilken typ av information ni har och hur den hanteras. Det är bättre att jobba iterativt och fördjupa eller bredda analysen när behovet uppstår än att fastna i detaljer för att man vill få med allt från början.
  • Lista sedan interna och externa krav på informationshanteringen. Lista de rutiner och interna krav som redan finns, samt externa krav som lagkrav och internationella standarder ni behöver uppfylla. Använd er av de verksamhets- och riskanalyser som finns. Saknas uppdaterade analyser kan ni utgå från dem som finns och uppdatera dem eller börja från noll.
  • Jobba tillsammans. Det här är inget ensamarbete utan samla alla relevanta funktioner från verksamheten som hanterar information, och jobba i workshopformat för att få fram de analyser ni behöver. En jurist eller någon som förstår sig på lagkrav och standarder, samt marknad, produktion etc behöver vara med. 

Syftet med kartläggningen är att definiera olika typer av information som verksamheten hanterar för att sedan kunna klassificera dem i enlighet med olika risknivåer. All information behöver nämligen inte hanteras på samma sätt. Det skulle bli både dyrt och omständligt. Bedriver ni säkerhetskänslig verksamhet ska ni även göra en säkerhetsskyddsanalys enligt de lagkrav som finns. Det fina med att utgå från all information och även klassificera information med måttlig och försumbar risk är att ni börjar i rätt ände. Ni utvecklar en enhetlig modell för informationshantering som inkluderar säkerhetskänslig information och får en bättre förståelse för hur den tekniska infrastrukturen behöver se ut. Det kan lätt bli dyrt och tidskrävande att börja från andra ändan, med att inhandla IT-system och hantera säkerhetskänslig information. 

När man börjar med säkerhetskänslig information tenderar man även att låsa in information som inte behöver hanteras som hemlig. Det beror ofta på att den är närliggande och man inte vet vad man ska göra med den. Genom att börja med all information och bygga en struktur som innefattar både offentlig och konfidentiell information blir det lättare att plocka ut det som verkligen är hemligt och tillgängliggöra det som behöver vara det. 

Klassning av information 

Att arbeta med informationssäkerhet betyder att skydda information utifrån tre aspekter: konfidentialitet, riktighet och tillgänglighet. I korthet ska rätt person få tillgång till rätt information och obehöriga ska inte på något sätt få tillgång till den. Informationen behöver därför klassas i enlighet med dess värde och känslighet samt utifrån interna behov och externa krav. Syftet är att kunna skapa lämpliga skyddsåtgärder för de informationstillgångar ni har. Tabellen nedan gör det tydligt: 

I det här stadiet ska ni hålla er till frågorna: vad blir det för konsekvenser om information sprids, ändras, förstörs, eller inte kan nås i tid? Här behöver ni den analys ni redan gjort angående vad för slags information ni har, samlade under huvudrubriker som personuppgifter etc. Ställ samma fråga för olika typer av informationstillgångar indelat i konfidentialitet, riktighet och tillgänglighet. Det kan handla om ekonomisk förlust, avbrott i verksamheten, minskat förtroende för varumärket, skador på individ eller för andra organisationer. 

Om ni redan har en riskanalys med uppställda risknivåer så ska ni använda er av den. Det viktiga är inte vilka termer ni använder er av utan att de förstås och kan användas konsekvent genom hela verksamheten. I vårt exempel nedan använder vi oss av (4) allvarlig, (3) betydande, (2) måttlig, och (1) ringa/obetydande påverkan. Tänk på att systemet ska vara användbart och passa verksamheten. Behöver ni inte fler nivåer än två så använd två, som t ex hög och normal risk (samt obetydlig risk). 

Hanterar ni (5) hemlig information som kan påverka rikets säkerhet så ska de hanteras separat, enligt en fyrgradig skala enligt säkerhetsskyddslagen. Men genom att skapa en modell för informationshantering har ni lättare att definiera och hantera det som faller inom säkerhetsskyddslagen. Så här kan ni ställa upp era risknivåer:

Koppla nu ihop de olika grupperna av information till en risknivå. Det är nu ni ser om ni behöver gå igenom informationen igen och fördjupa analysen. Tänk på att samma typ av information kan vara spridd i organisationen, och att olika typer av information också kan behöva grupperas tillsammans. När ni har kopplat ihop informationsgrupperna till en risknivå har ni lyckats med att klassa informationen. Grattis! Dags att fira att ni kommit en bra bit på väg. 

Det som är kvar att göra är att:

  • Skapa en processkarta för hur informationen används och hanteras, om ni inte har gjort det tidigare.
  • Skapa skyddsåtgärder för informationshanteringen. När ni bättre förstår organisationens behov och vad som ska skyddas kan ni utforma ett IT-system som passar er verksamhet.
  • Skapa ett system där ni adderar etiketter eller taggar till all information så blir den både lätt att hitta och ge rätt behörighet
  • Skapa en tydlig referensmall med exempel så att alla förstår vad för slags information som menas för varje risknivå. Gör det lätt att göra rätt.
  • Skapa och dokumentera rutiner för hur informationen ska hanteras, samt utbilda alla i verksamheten.
  • Utvärdera era rutiner regelbundet.
  • Ta hand om gammal information som behöver arkiveras.

Ett steg i taget, andas, och allt kommer att bli bra. Ta det där steget nu. Eller ring oss.

Ta även stöd av Myndigheten för Samhällsberedskap (MSB). Deras webbsida om Informationssäkerhet har bra information och verktyg. (Länk: https://www.informationssakerhet.se/)

Sammanfattningsvis

Informationssäkerhet låter komplicerat och är det till viss del, men genom att börja i rätt ände och jobba metodiskt så får ni ordning på dokumenten och känner allt mer trygghet i att de hanteras på ett säkert sätt. Informationssäkerhetsarbetet är en verksamhetsfråga; ansvaret ligger därför hos högsta ledningen och involverar hela verksamheten. 

Börja med att kartlägga den information ni har och hur den hanteras inom verksamheten. Försök först att få ett helikopterperspektiv och gå djupare i analysen när det behövs. Dela upp information i kategorier och grupper som hör samman. Definiera risknivåer utifrån rimliga konsekvenserna om informationen kommer till fel person, ändras eller förstörs, eller inte kan nås av behörig person. Koppla ihop informationskategorier/grupper med risknivåer. Nu har ni en grundläggande modell som ni kan bygga vidare på. 

 

Om Dokumentera 

Dokumentera är ett ambitiöst och växande konsultbolag med teknisk dokumentation, IT och systemdokumentation och informationshantering som specialitet. Vi arbetar som tekniska skribenter, teknikinformatörer och dokumentsamordnare och kan bistå i hela processen från förstudie och analys till produktion, kvalitetssäkring och utbildning. Sedan Dokumentera startade sin verksamhet 2007 har vi hjälpt ett stort antal nöjda företag och organisationer i olika branscher med kvalitativ dokumentation för både internt och externt bruk.