Informationssäkerhet
Riskanalys

 

Informationssäkerhet

 

Informationssäkerhet, eller cyber security som det ofta benämns på engelska, har vuxit till att bli en nyckelaspekt för både offentlig sektor och näringslivet. 

Informationen som behandlas behöver vara både konfidentiell och tillgänglig på samma gång, och balansgången däremellan har oftast favoriserat tillgängligheten.

 

Men lagstiftning såsom GDPR och NIS-direktivet, båda skrivna på gemensam EU-nivå, har lyft frågan och visar på informationssäkerhetens relevans för medborgarna, näringsverksamheten, och den nationella säkerheten.

 

Informationssäkerhet vilar på tre pelare:

  • Konfidentialitet: informationen är otillgänglig för obehöriga
  • Tillgänglighet: att informationen alltid finns där när den behövs
  • Riktighet: att vi kan lita på att informationen är korrekt och inte felaktig eller förstörd.

IT-system och  informationslagring: en ledningsfråga

 

För att uppnå hög informationssäkerhet men bibehålla tillgänglighet och riktighet krävs både säkra IT-system, och ett säkert hanterande av informationen av medarbetarna. Säkra brandväggar hjälper inte när en medarbetare pluggar in ett USB-minne man fått på en konferens i sin jobbdator, eller laddar ner en komprometterad app i sin jobbtelefon. Personalutbildning är en avgörande aspekt av informationssäkerhet!

 

För att uppnå hög informationssäkerhet behöver en verksamhet dessutom ha god kunskap om vilken typ av information man behandlar, och var den är lagrad. GDPR tvingar alla verksamheter som handhar persondata, som lagen definierar väldigt brett, att ha full kontroll på datan, var den befinner sig och varför den finns där. En verksamhets arkivarie eller registrator blir en nyckelperson för att ha full kontroll över informationsflödena. 

 

Informationssäkerhet är en ledningsfråga. Det är ledningen som är ansvarig för informationens tillgänglighet, konfidentialitet och riktighet. Dessa tre aspekter säkerställs genom en god och välarbetad styrdokumentation som definierar ansvarsområden och arbetsuppgifter. Dokumentationen ska hållas levande, företrädelsevis av en informationssäkerhetschef.

 

 

Åtgärder

 

Det finns en rad åtgärder en verksamhet kan vidta för att säkerställa en god informationssäkerhet. Earhart business protection agency har konsulter med lång och gedigen erfarenhet på området. Vi har hjälpt företag, myndigheter, kommuner och länsstyrelser med att utarbeta olika åtgärder, och vi kan bland annat erbjuda följande:

 

 

  • Hjälp att skapa och bygga en heltäckande styrdokumentation
  • Utbildning för ledningsgruppen om system, lagstiftning och strategier
  • Utbildning för medarbetarna, särskilt rörande vardagsbeteende och sociala medier
  • Stöd till CISO
  • Analys av tredjepartsrelationer rörande informationssäkerhet
  • GAP-analyser för att uppnå ISO-standard 27001 och 27002

 

 

 

Copyright © All Rights Reserved

Earhart Business Protection Agency  Karlavägen 65 Stockholm, Sweden