Informationssäkerhet

I många verksamheter är information en av de viktigaste resurserna. Att ha koll på hur den hanteras och vem som ansvarar för den kan vara avgörande för att undvika kostsamma misstag. Det är också grunden för informationssäkerhet.

Bristande informationshantering kan få katastrofala följder

Vikten av informationssäkerhet har den senaste tiden fått allt större uppmärksamhet. Rapporteringen kring bristande informationshantering hos bland annat Transportstyrelsen och Svenska Kraftnät, incidenter i datacenter, hackerattacker mot sjukhus och it-haverier har väckt insikten om att information är en värdefull resurs som måste hanteras på ett säkert sätt i våra verksamheter.

Dessutom kommer nya lagar som sätter fokus på informationshantering. GDPR som trädde i kraft i maj förra året är ett exempel. I april träder även den nya säkerhetsskyddslagen i kraft som bland annat ställer krav på att myndigheter och företag som fyller en viktig samhällsfunktion inventerar och klassificerar sina informationstillgångar.

– Informationen i våra verksamheter har ett stort värde och kan i vissa fall vara stöldbegärlig. Samtidigt vill vi att informationen ska vara tillgänglig så att vi kan komma åt den var som helst och när som helst. Därför blir det allt viktigare att hantera informationen på rätt sätt, säger Martin Hidefjäll, VD på Aptly Consulting som arbetar med informationskartläggning och informationsklassificering både på myndigheter och företag.

3 konsekvenser av bristande informationssäkerhet

  • 1
    Viktig information försvinner eller blir förvanskad, vilket medför att verksamheten stoppas.
  • 2
    Information faller i orätta händer och kan utnyttjas av utomstående.
  • 3
    Viktig information har inte rätt kvalitet, vilket kan innebära ekonomiska eller varumärkesmässiga förluster.

Informationssäkerhet – vilken information är hemlig? Vad ska krypteras?

Informationssäkerhet handlar i grund och botten om att ha koll på vilken typ av information som finns i verksamheten och hur den ska hanteras. Vilken information är hemlig och vilka ska ha tillgång till den? Vilken typ av information måste till exempel krypteras? Vilken information är verksamheten helt beroende av för att kunna fungera? Och vilken information är mindre känslig och kan ligga helt öppet?

Enligt Martins Hidefjälls erfarenhet är det bra att involvera den operativa verksamheten i arbetet med att kartlägga och klassificera informationen, gärna i workshopform. Då blir det också tydligt vilken information som företaget hanterar och vilken enhet som är ansvarig för olika typer av information.

Nästa steg är att utse ansvariga, vilket är något som ofta förbises.

Att tänka på:

1

Vem äger frågan?

Informationssäkerhet är inte en teknikfråga, det är en verksamhetsfråga.
Information är en verksamhetsresurs, utan den kan verksamheten inte fungera. Därför bör ansvaret för informationen också ligga i organisationen.

2

Utse ansvariga för varje enhet

Utse en ansvarig som håller koll på och driver frågorna på respektive enhet. Viktigt är att den som är ansvarig har koll på vad ansvaret omfattar och hur informationen ska hanteras.

3

Informationen är alltid densamma

Informationssäkerhet kräver delvis ett nytt tankesätt. Informationen i verksamheten är fristående från it-system, den är alltid densamma oavsett it-system eller plattform.

Rollen som saknas

Att chefer har budgetansvar, personalansvar, kundansvar och ansvar för fysiska tillgångar är idag en självklarhet. Men för den viktigaste, och kanske känsligaste, verksamhetsresursen Information, saknas ofta ett uttalat ansvar i organisationen.

Martin Hidefjäll

Martin Hidefjäll

VD Aptly

Informationsansvariga med olika ansvar

Martin Hidefjäll tipsar om att utse två informationsansvariga på olika nivå för respektive enhet, en med ett övergripande ansvar och en med ett operativt ansvar. Den operativa informationsägarens roll är att löpande säkerställa att informationen hanteras på det sätt som verksamheten kommit överens om och att uppdatera när förutsättningarna förändras.

När arbetet med att kartlägga och klassificera informationen är klar är det dags att kontroller hur de befintliga it-systemen ser ut och sätta in åtgärder för att säkerställa att känslig information hanteras på rätt sätt. Det är nu it-avdelningen ska kopplas in. De kan då anpassa it-system och rutiner utifrån en tydlig kravställning där olika typer av information hanteras på olika sätt.

Ett vanligt misstag är att man lägger ansvaret för informationssäkerheten direkt på it-avdelningen. Informationssäkerhet är ingen it-fråga, det är en verksamhetsfråga, poängterar Martin Hidefjäll.

– Samtliga beslut om hur olika typer av information ska hanteras i organisationen, till exempel avseende skydd, kvalitet och loggning, medför kostnader. Dessa kostnader måste vägas mot andra verksamhetsbeslut och kan därför inte hanteras av en separat it-avdelning.

Informationsbeskrivningar har långt bäst före datum

Martin tycker att det är klokt att låta arbetet med att kartlägga och klassificera informationen ta tid och att involvera olika typer av verksamhetsexperter i arbetet. Ju fler som kan ge sin syn på hur informationen hanteras i just deras del av verksamheten, desto bättre underlag för säkerheten får man.

Det finns strukturerade metoder som ger stöd i arbetet, men det kan också vara värt att ta in hjälp utifrån, antingen en konsult eller mentor som kan vägleda arbetet.

– Arbetet med att beskriva information om kunder, avtal eller anläggningar är väl investerade pengar. Den information som verksamheten använder förändras inte så mycket över tid och våra nyckeltal visar att beskrivningen av information håller i minst tio år. Jämför det med exempelvis rutinbeskrivningar som måste göras om efter ett till två år på grund av löpande organisationsförändringar. Dessutom finns det många andra positiva bieffekter av att ha bra koll på sin information som gör att arbetet lönar sig, till exempel för att beskriva informationsutbyte, kravställning av nya IT-system och en gemensam begreppsanvändning, förklarar Martin Hidefjäll.

Relaterade utbildningar

Informationsmodellering och begreppsanalys

Utbildning i informationsmodellering – se till att verksamheten har tillgång till rätt information vid rätt tidpunkt. 

Verksamhetsarkitektur

Verksamhetsarkitektur hjälper oss i samband med förändringar och verksamhetsutveckling. Det blir enklare att fatta kloka beslut när det...

Certifierad Verksamhetsutvecklare med Astrakanmetoden

Som Certifierad Verksamhetsutvecklare kan du skapa samverkan i utvecklingsfrågor och säkerställa att insatser leder till önskad effekt.

Certifierad Verksamhetsarkitekt

Verksamhetsarkitekten gör organisationen redo att snabbt tillgodose nya behov och anpassa sig i takt med att omvärlden förändras. Detta...

Så säkrar du informationen

  • 1

    Gör en kartläggning

    Samla centrala verksamhetsexperter och gör en övergripande informationsdomänkarta. Tydliggör vilken information respektive enhet ska vara ansvarig för och gör en mer detaljerad beskrivning för respektive enhet.

  • 2

    Utse ansvariga

    Se till att det på varje enhet finns en övergripande informationsansvarig med helhetskoll och en eller flera operativa informationsägare som ansvarar för detaljerna.

  • 3

    Klassificera informationen

    Bedöm hur informationen ska hanteras utifrån sekretess, tillgänglighet, spårbarhet och kvalitet. Bestäm hur verksamheten ska hantera av olika typer av informationsgrupper.

  • 4

    Åtgärder

    Ta reda på hur aktuell information hanteras idag och sätt in åtgärder där det behövs.

Anna Nyström

Anna Nyström

Anna är journalist och skriver för Astrakan om verksamhetsutveckling och ledarskap.

Innehåll

Ämnen

Områden

Ladda ner

  • Bocka för de dokument du vill ladda ner
    • Detta fält är dolt när formuläret visas
    • Detta fält är dolt när formuläret visas
    • Detta fält används för valideringsändamål och ska lämnas oförändrat.