9789144121109 by Smakprov Media AB

INFORMATIONSSÃ&#x201E;KERHET PER OSC ARSON

Kopieringsförbud Detta verk är skyddat av upphovsrättslagen. Kopiering, utöver lärares och studenters begränsade rätt att kopiera för undervisningsändamål enligt Bonus Copyright Access kopieringsavtal, är förbjuden. För information om avtalet hänvisas till utbildningsanordnarens huvudman eller Bonus Copyright Access. Vid utgivning av detta verk som e-bok, är e-boken kopieringsskyddad. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman eller rättsinnehavare. Studentlitteratur har både digital och traditionell bokutgivning. Studentlitteraturs trycksaker är miljöanpassade, både när det gäller papper och tryckprocess.

Art.nr 39697 ISBN 978-91-44-12110-9 Upplaga 1:1 © Författaren och Studentlitteratur 2019 studentlitteratur.se Studentlitteratur AB, Lund

Sakgranskning: John Lindström, Lothar Fritsch, Anne-Marie Eklund-Löwinder Formgivning inlaga: Karl Stefan Andersson Omslagslayout: Francisco Ortega Omslagsbild: Martine Castoriano Författarfoto: Lasse Persson Printed by Interak, Poland 2019

Innehåll

Introduktion till boken 9 1 Förutsättningar och grundläggande begrepp 13 Informationssäkerhet – en överblick 13 Samhällets behov av informationssäkerhet 20 Författningar 34 Organisationens nytta av informationssäkerhet 47 Säkerhet och risk 53 Informationssäkerhet, IT-säkerhet och cybersäkerhet 58 Skyddsobjektet: informationstillgångar 63 Konfidentialitet, riktighet och tillgänglighet – KRT 68 2 Hot 75 Informationssäkerhetsrelaterade hot 75 Typer av informationssäkerhetshot 77 Oavsiktliga hot 80 Antagonistiska hot 82 Aktörer och syften 94 Marknader för IT-brott 99 Hotbilder 100

3 Säkerhetsåtgärder 105 Begreppet säkerhetsåtgärd 105 Typer av säkerhetsåtgärder 106 Standarder och ramverk 118 Åtkomster och behörigheter 126 Personalsäkerhet 135 Kryptering 139 Nätverkssäkerhet 152 Säkerhet i IT-system 158 Säkerhet i IT-miljön (driftsäkerhet) 163 Fysisk informationssäkerhet 171 4 Styrning av informationssäkerhet 179 Systematiskt informationssäkerhetsarbete 179 Standardserien SS-EN ISO/IEC 27000 185 Analys av organisationens behov 188 Prioritering och lönsamhet 201 Mål med informationssäkerhet 211 Ansvar, roller och organisation 215 Styrdokument för informationssäkerhet 223 Informationsklassning 230 Verksamhetsdriven informationssäkerhet 241 Incidenthantering 244 Kontinuitetshantering 248 Uppföljning av informationssäkerhet 254 Externa leverantörer 259 Informationssäkerhet i små organisationer 265 5 Säkerhetsmedvetande 269 Människan och informationssäkerhet 269 Medvetenhet, beteende och kultur 274 Regelefterlevnad 280 Att skapa engagemang och motivation i organisationen 286 Ledningens medvetenhet och engagemang 290 Olika rollers kunskapsbehov 294

Åtgärder för att öka och upprätthålla säkerhetsmedvetandet 299 Program för säkerhetsmedvetande 306 Mätning och uppföljning 309 6 Stöd och tips 315 Resurser i samhället 315 Kompetensutveckling 325 Tio tips till CISO 328 Informationssäkerhet i framtiden 334 Källor 341 Sakregister 353

4 Styrning av informationssäkerhet Det här kapitlet handlar om hur man arbetar med informations säkerhet i organisationer. För att välja och införa rätt säkerhets åtgärder behöver man förstå och möta interna och externa krav och den aktuella och framtida hotbilden. För detta krävs ett strukturerat arbete som ofta benämns som systematiskt informationssäkerhets arbete eller ledningssystem för informationssäkerhet.

Systematiskt informationssäkerhetsarbete I de två första kapitlen har utmaningar med informationssäkerhet, inkluderande IT- och cybersäkerhet, beskrivits i form av behov, krav och hot. Kapitel 3 gick sedan igenom olika typer av säkerhetsåtgärder som syftar till att möta dessa behov, krav och hot. Det här kapitlet beskriver hur organisationer systematiskt kan arbeta med informationssäkerhet i syfte att över tid välja, införa och förvalta säkerhetsåtgärder som motsvarar organisationens behov, krav och hotbild. Kapitlet beskriver ett antal komponenter som behövs vid styrning av informationssäkerhet. Rätt utformade och utförda bildar dessa tillsammans ett strukturerat arbete med informationssäkerhet, det som brukar benämnas ett systematiskt informationssäkerhetsarbete eller ledningssystem för informationssäkerhet (LIS). I detta

179

4 Styrning av informationssäkerhet avsnitt beskrivs vad detta arbete innebär och i nästa avsnitt beskrivs den mest centrala standarden för detta: SS-EN ISO/IEC 27001. Systematiskt säkerhetsarbete är en samlingsterm för organisationers systematiska arbete med all form av säkerhet, och innefattar vid sidan av informationssäkerhet även arbetsmiljöarbete, brandskyddsarbete och kontinuitetshantering. Arbetssättet liknar arbetsformen som används inom kvalitetsledningssystem, dvs. att man identifierar, organiserar, dokumenterar, kontrollerar och följer upp ett arbete inom ett identifierat område. På MSB:s webbplats informationssäkerhet.se finns ett metodstöd för att skapa och driva ett systematiskt informations säkerhetsarbete. Vissa delar i det här kapitlet tangerar delar av metodstödet, men boken är mer beskrivande och inte en metod på samma sätt som materialet på webbplatsen som också innehåller en del enklare verktyg. När så är behövligt ges referenser till metodstödet, t.ex. vid hänvisning till verktyg eller i de fall det förekommer avvikelser mot metodstödet. SY F T EN M ED ET T SY ST E M AT ISK T I N FOR M AT IONSSÄ K ER H ETSA R BET E

Informationssäkerhet behöver styras på ett strukturerat och systematiskt sätt, precis som andra delar i en organisation som t.ex. ekonomi eller personaladministration. I likhet med andra områden är det viktigt att klargöra ansvar och roller, att ha tydliga mål och budgetramar, att ha tydliga styrdokument, att följa upp aktiviteter osv. Det som ytterligare motiverar ett systematiskt informationssäkerhetsarbete och som skiljer sig från de flesta andra områden är den snabba förändringen och komplexiteten. Som vi sett i tidigare kapitel ökar digitaliseringen av samhället i snabb takt med nya tekniker och tillämpningsområden. Mörka krafter använder också internet och aktörerna bakom hoten är mångfacetterade och satsar mängder med resurser. Informationssäkerhetsrelaterade hot är i kontinuerlig förändring, det uppkommer ständigt nya attackmetoder och skadlig kod och det framkommer hela tiden

180

4 Styrning av informationssäkerhet nya sårbarheter. Även de rättsliga krav som påverkar informationssäkerhet förändras och det uppkommer nya lagar, förordningar och föreskrifter. Dessutom förändras alla organisationer mer eller mindre i sig självt. Det sker omsättning av personal, man omorganiserar, anskaffar ny teknik osv. De flesta organisationer befinner sig på någon slags förändringsresa i samband med den pågående digitaliseringen. Den organisation som antingen är helt ”färdigutvecklad” med digitalisering eller som väljer att helt stå utanför digitaliseringen finns helt enkelt inte. För att nå en tillräckligt bra informationssäkerhet i en organisation måste alltså arbetet med informationssäkerhet vara dynamiskt och anpassa sig efter förändringarna. Det räcker inte att införa ett antal säkerhetsåtgärder och sedan slå sig till ro och tro att detta räcker, utan det behövs ett systematiskt arbetssätt som över tid analyserar och anpassar informationssäkerheten efter de externa förutsättningarna, de interna förutsättningarna och hotbilden (se figur 4.1). Hot kan vara både interna och externa och kan även relateras till sårbarheter, dvs. avsaknad av skydd eller brister i det befintliga skyddet. Hot avbildas därför i figur 4.1 som ett bakomliggande moln som täcker såväl interna och externa förutsättningar som säkerhetsåtgärder.

Externa förutsättningar Ständig anpassning och förbättring Hot

Säkerhetsåtgärder Ständig anpassning och förbättring Interna förutsättningar

Figur 4.1 Syfte med styrning av informationssäkerhet.

181

4 Styrning av informationssäkerhet Ledningssystem för informationssäkerhet (LIS) är ett etablerat begrepp för ett systematiskt arbete med informationssäkerhet. Ett LIS innebär en metodik som syftar till att upprätta, införa, driva, övervaka, granska, underhålla och förbättra organisationens informationssäkerhet. Ett LIS avser inte ett IT-baserat system, men IT-baserade verktyg kan användas för att stödja delar av ett LIS. ST Y R N I NGENS GRU N DER

Att styra informationssäkerhet i en organisation består i korthet av fyra grundkomponenter, eller huvudaktiviteter: behovsanalys, reglering, stöd och uppföljning (se figur 4.2). I olika metoder och ramverk kan dessa fyra grundkomponenter ta sig olika uttryck, benämnas på olika sätt och vara uppdelade i flera delkomponenter. Metodstödet på informationssäkerhet.se består av fyra komponenter som benämns Identifiera & analysera, Utforma, Använda och Följa upp & förbättra. För att nå ett systematiskt arbetssätt som förbättrar informationssäkerheten och anpassar den till förändringar över tid behöver de fyra komponenterna eller huvudaktiviteterna bilda en cyklisk process. Den sista komponenten ska leda till förbättringar och behovsanalysen ska göras återkommande för att anpassa regleringen och stödet till nya förutsättningar i omvärlden eller i den egna organisationen.

Behovsanalys

Reglering

Analyser, t.ex.: • Verksamhet • Omvärld • Hot/risk • Gap • Kostnad-nytta

Styrdokument, t.ex.: • Policyer • Riktlinjer • Instruktioner

Stöd Material och insatser, t.ex.: • Metoder • Vägledningar • Utbildningar • Deltagande

Uppföljning Kontroll av e erlevnad, t.ex.: • Granskningar • Revisioner • Tester

Figur 4.2 Grundkomponenter vid styrning av informationssäkerhet.

182

4 Styrning av informationssäkerhet Behovsanalys Analyser av olika slag ger organisationens behov av informationssäkerhet och är grunden till hur man bör arbeta med informationssäkerhet och vilka säkerhetsåtgärder som ska införas. Detta beskrivs nedan i avsnittet ”Analys av organisationens behov”. Behoven som man kommer fram till är inte alltid identiska med vad man sedan väljer att införa. Arbetssätt och säkerhetsåtgärder är ofta förknippade med kostnader och investeringar. Ofta behöver avvägningar göras mellan kostnader och nytta, och alla aktiviteter kan sällan göras direkt utan måste prioriteras i tid. Detta tas upp i avsnittet ”Prioritering och lönsamhet”. Reglering När man fastställt behovet av informationssäkerhet och prioriterat vilka aktiviteter som ska genomföras ska man, ofta formellt, reglera detta i organisationen. Detta sker genom styrdokument som är formella och beslutade, som t.ex. policyer, riktlinjer och instruktioner (se avsnittet ”Styrdokument för informationssäkerhet”). Styrdokumenten kan innefatta hur det systematiska arbetet ska gå till, ansvar och organisation, vilka modeller som kan användas, och framförallt vilka säkerhetsåtgärder som ska finnas och vilka regler som gäller för olika roller i organisationen. Regleringar kan baseras på etablerade ramverk och standarder men bör anpassas till den egna organisationen. Stöd Olika grupperingar och roller i en organisation ska genomföra och efterleva det som regleras. För att kunna efterleva regleringar behövs i allmänhet alltid stöd i olika former. Det kan vara skriftliga vägledningar, metoder och handböcker eller olika former av utbildningar. Ju mer resurser man lägger på stöd, desto bättre efterlevnad kan man nå och därmed verkan och effekt med informationssäkerhetsarbetet. Syftet med stöd är emellertid inte bara att konkret visa hur man efterlever regleringar, utan kan också vara att sprida inspiration och engagemang kring

183

4 Styrning av informationssäkerhet informationssäkerhetsfrågor. Läs mer om utbildning, stöd och engagemang i kapitel 5. Uppföljning Det sista steget innebär att man kontrollerar efterlevnaden av regleringarna. Det kan göras på en mängd olika sätt, t.ex. genom ständig bevakning/monitorering, tester, observationer, enkäter, mätningar, revisioner och granskningar. Läs mer i avsnittet ”Uppföljning av informationssäkerhet”. I N T EGR AT ION I ORGA N ISAT ION EN

Styrning av informationssäkerheten måste anpassas till hur organisationen styrs generellt. Alla organisationer har någon form av styrmodell, som dock kan vara mer eller mindre formell och dokumenterad. Men beslut fattas någonstans och resurser fördelas oavsett vilket. I de flesta organisationer finns en årlig cykel där verksamheter planeras och budgeteras och sedan följs upp på ett formellt sätt. Det är en mycket bra idé att skapa ett informationssäkerhetsarbete som knyter an till sådana generella styrmodeller och processer i organisationen. Informationssäkerhetsarbetet kan vara tätt integrerat med andra närliggande områden, som t.ex. styrning av kvalitet, risk eller generell säkerhet. Det finns exempel på organisationer som med framgång har skapat ett generellt säkerhetsledningssystem, där man i ett LIS förutom informationssäkerhet även har lagt in andra säkerhetsområden som t.ex. brandsäkerhet och person säkerhet. Många organisationer arbetar utifrån modeller för intern styrning och kontroll, och det kan vara lämpligt att utnyttja detta även för styrningen av informationssäkerhet. Om organisationen har ett ledningssystem enligt en annan ISO-standard, t.ex. för kvalitet, miljö eller kontinuitetshantering, kan det vara en god idé att integrera dessa system eftersom de sedan en tid tillbaka är uppbyggda utifrån samma grundstruktur. De delar av det systematiska informationssäkerhetsarbetet som berör IT kan med fördel knyta an till modeller för IT-styrning, som Cobit, ITIL och pm3. Det

184

4 Styrning av informationssäkerhet finns organisationer som framgångsrikt har hanterat sitt LIS som ett förvaltningsobjekt enligt pm3, och därigenom skapat ett strukturerat arbetssätt på årsbasis med förbättringsåtgärder i förvaltningsplaner osv. Vilken strategi man väljer för styrning av informationssäkerhet beror mycket på hur organisationen ser ut, något som en analys av den egna organisationen bör ge svar på.

Standardserien SS-EN ISO/IEC 27000 Det i Sverige och internationellt dominerande angreppssättet för att skapa ett ledningssystem för informationssäkerhet (LIS) utgår från standardserien SS-EN ISO/IEC 27000. Standardserien innefattar en stor mängd standarder, men två standarder kan sägas utgöra seriens huvudstandarder: • SS-EN ISO/IEC 27001 – Informationsteknik – Säkerhetstekni ker – Ledningssystem för informationssäkerhet – krav. Denna standard ställer som namnet antyder krav på ett LIS, dvs. vad det ska innefatta. I standardens Bilaga A finns ett antal säkerhetsåtgärder som tjänar som utgångspunkt för vilka säkerhetsåtgärder som ska finnas. • SS-EN ISO/IEC 27002 – Informationsteknik – Säkerhetstek niker –Riktlinjer för informationssäkerhetsåtgärder. Denna standard ger vägledning för införande av säkerhetsåtgärderna i föregående standards Bilaga A. Standardserien används i olika grad av många organisationer i Sverige. Sedan 2009 är det i MSB:s föreskrifter tvingande för statliga myndigheter att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. I det arbetet ska de båda huvudstandarderna ovan beaktas, enligt MSB föreskrift MSBFS 2016:1. Att standardserien är så etablerad och spridd innebär fördelar. Förutom att man tar

185

4 Styrning av informationssäkerhet tillvara samlade kunskaper och erfarenheter från hela världen så använder man ett gemensamt ramverk och en gemensam terminologi som underlättar vid kommunikation och samverkan med andra aktörer, vid utbildning, revisioner, upphandlingar m.m. Standarderna i serien utgår från ett verksamhetsdrivet och riskorienterat arbete med informationssäkerhet, i motsats till ett teknikdrivet. Utgångspunkten är att det är information som ska skyddas, utifrån de tre aspekterna konfidentialitet, riktighet och tillgänglighet, medan IT är resurser som används för att hantera informationen. I kapitel 3 presenterades standarden SS-EN ISO/IEC 27002 som innehåller ett antal säkerhetsåtgärder och vägledningar för att införa dessa. Samma säkerhetsåtgärder återfinns i en bilaga (Bilaga A) i SS-ISO/IEC 27001 (se figur 4.3). Säkerhetsåtgärderna i de båda standarderna utgör s.k. best prac tice. Experter från hela världen har vid utvecklingen av standarderna kommit fram till och enats om att dessa säkerhetsåtgärder bör utgöra utgångspunkten vid bedömning av vilka säkerhetsåtgärder en organisation behöver. Ytterligare säkerhetsåtgärder kan läggas till, och det kan finnas skäl till att välja bort säkerhetsåtgärder ur standarden, men då ska också detta kunna motiveras; man kan säga att det råder en omvänd bevisbörda. De säkerhetsåtgärder som av organisationen anses nödvändiga att inkludera respektive exkludera ska sammanställas med motiveringar i ett s.k. uttalande om tillämplighet (Statement of Applicability, SoA).

SS-EN ISO/IEC 27001 Krav på ledningssystem för informationssäkerhet Bilaga A: Säkerhetsåtgärder

SS-EN ISO/IEC 27002

Vägledning för införande av säkerhetsåtgärder

Figur 4.3 SS-EN ISO/IEC 27001 och SS-EN ISO/IEC 27002.

186

4 Styrning av informationssäkerhet SS-EN ISO/I EC 27001

De huvudsakliga komponenterna i SS-EN ISO/IEC 27001 är: • Organisationens förutsättningar. Att förstå organisationen och dess förutsättningar, intressenters behov och förväntningar, ledningssystemets omfattning m.m. • Ledarskap. Att skapa ledarskap och engagemang, informationssäkerhetspolicy, och att definiera befattningar, ansvar och befogenheter inom organisationen. • Planering. Att vidta åtgärder för att hantera risker och möjligheter, att skapa informationssäkerhetsmål och att planera för att uppnå dessa. • Stöd. Att ge förutsättningar för resurser, kompetens, medvetenhet, kommunikation och dokumenterad information. • Verksamhet. Att planera och styra verksamheten, att bedöma och behandla löpande informations säkerhetsrisker. • Utvärdering av prestanda. Att övervaka, mäta, analysera och utvärdera informationssäkerhetsarbetet och att genomföra ledningens genomgång. • Förbättringar. Att hantera avvikelser och genomföra korrigerande åtgärder för att nå ständig förbättring. Även om delarna i standarden är fler till antalet kan de mappas efter de grundläggande komponenter i styrning som illustrerades i figur 4.2: Behovsanalys, Reglering, Stöd och Uppföljning, och motsvarande steg i metodstödet på informationssäkerhet.se. Även här syftar aktiviteterna till att skapa en cirkulär process som i sin tur syftar till ständig förbättring och anpassning till organisationens och omvärldens behov och krav. Standarden SS-EN ISO/IEC 27001 har samma struktur och kapitelindelning som andra ledningssystemsstandarder, exempelvis för kvalitet (SS-EN ISO 9000), miljö (ISO 14000) och

187

4 Styrning av informationssäkerhet kontinuitetshantering (SS-EN ISO 22301). Som nämnts tidigare innebär detta fördelar om man vill integrera ledningssystem. Förutom huvudstandarderna SS-EN ISO/IEC 27001 och SS-EN ISO/ IEC 27002 finns det en mängd andra standarder i serien. Några av dessa beskrivs i kapitel 6.

Analys av organisationens behov Informationssäkerhet är inte en isolerad företeelse i en organisation utan är en stödverksamhet till den kärnverksamhet som utför de egentliga tjänster som organisationen är till för. Om man vill förstå behovet av informationssäkerhet i en organisation behöver man analysera de tre delarna i figur 4.1: interna förutsättningar, externa förutsättningar och hotbild. Ingen organisation behöver dock egentligen börja med ett ”vitt papper”, eftersom varje organisation ingår i en samhällelig kontext och därför delar många förutsättningar med andra organisationer i samhället. ORGA N ISAT ION EN EN DEL I EN OMGI VA N DE KON T E X T

Varje organisation är unik; den består av unika människor, har unika lokaler m.m. och har en särskild uppgift som gör att den har ett existensberättigande. Men, varje organisation har inte bara unika förutsättningar, utan den finns till i ett omgivande samhälle och tillhör en viss bransch eller sektor. Därför delar, eller ”ärver”, varje organisation generella förutsättningar. I avsnittet ”Hotbilder” i kapitel 2 illustrerar figur 2.10 att en organisation har en egen specifik hotbild, men att organisationen också ärver en generell samhällelig hotbild och den hotbild som är specifik för den bransch eller sektor som organisationen tillhör. Detta förhållande gäller för flera faktorer än för organisationens hotbild. Rättsliga krav, informationstillgångar och olika rollers förväntningar är faktorer som alla kan fördelas i dessa tre nivåer (se figur 4.4).

188

4 Styrning av informationssäkerhet Samhällsgemensamma förutsättningar: • Hotbild • Rättsliga krav • Informationstillgångar • Förväntningar Organisationsspeciﬁka förutsättningar: • Hotbild • Rättsliga krav • Informationstillgångar • Förväntningar

Samhälle

Sektor/bransch

Sektorsspeciﬁka förutsättningar: • Hotbild • Rättsliga krav • Informationstillgångar • Förväntningar

Organisation

Figur 4.4 Samhällsgemensamma, sektorspecifika och organisationsspecifika förutsättningar.

Vissa rättsliga krav är gemensamma för i stort sett alla organisationer, exempelvis dataskyddsförordningen och bokföringslagen. Andra kan gälla för väldigt många organisationer i samhället, exempelvis för hela den offentliga sektorn (t.ex. arkivlagen) eller för alla företag (t.ex. lagen om företagshemligheter). En hel del informationstyper kan också ses som generella eftersom de finns i princip alla organisationer, exempelvis personuppgifter och finansiella transaktioner för att koppla mot exemplen på lagarna ovan. Många rättsliga krav och informationstyper är avhängiga den bransch eller sektor där organisationen ingår, t.ex. finanssektorn, hälso- och sjukvård eller telekomsektorn. När det gäller förväntningar så finns det allmänna förväntningar på organisationers informationssäkerhet i samhället; att information är tillgänglig och korrekt, att betalningar kan ske smidigt och säkert, att det finns e-tjänster med stark autentisering m.m. ”Allmänheten” i samhället är ju inte bara en folkmassa i organisationens periferi, utan är ju också representerad i och nära organisationen i form av anställda, ägare, kunder, klienter osv. Förväntningar från olika roller kan vara, och är ofta, kopplade till den bransch eller sektor som organisationen befinner sig i.

189

4 Styrning av informationssäkerhet Lite förenklat kan man alltså dela in en organisations behov av informationssäkerhet i tre delar: organisationsspecifika, sektorsspecifika och samhällsgemensamma. Slutsatsen av detta är att man egentligen inte behöver analysera allt från grunden utan många av förutsättningarna är redan givna. Dessa bör man förstås identifiera, och därför är det oerhört viktigt att inom detta område hålla sig à jour med samhällsövergripande och sektorspecifika förutsättningar. Detta görs genom bl.a. mediebevakning, nätverkande och samverkan. Med detta sagt måste man ändå göra jobbet att identifiera de interna och externa förutsättningarna inklusive den hotbild som är unik för den egna organisationen. Förutom att man kommer att hitta specifika behov för organisationens informationssäkerhet så ger genomförandet av olika analyser mervärden i sig, främst genom att de har en medvetandehöjande effekt hos de som deltar i analyserna eller tar del av resultaten. Generellt skydd mot generella hot och krav Utifrån resonemanget ovan innebär detta också att valet av säkerhetsåtgärder knappast är unikt för en organisation. De säkerhetsåtgärder man väljer för att uppnå en viss nivå av informationssäkerhet är även dessa till stor del gemensamma i samhället för liknande organisationer i samma bransch eller sektor. Det är också detta som är idén med de ramverk och standarder som utgör best practice och även med de krav på säkerhetsåtgärder som finns i vissa författningar. Många experter har kommit fram till att det är de ingående säkerhetsåtgärderna i dessa som ger ett grundskydd mot en generell hotbild och som uppfyller generella krav. De flesta av dessa ramverk och standarder är dock internationella, varför det är bra att komplettera med nationella och sektorsspecifika krav och rekommendationer för säkerhetsåtgärder, något som enligt min uppfattning borde utvecklas mer. När man analyserar en organisations behov av informationssäkerhet med hjälp av de olika analyserna i avsnitten nedan så är det viktigt att först ha den breda bilden i åtanke och ta fasta på följande:

190

4 Styrning av informationssäkerhet • Se organisationen i en samhällelig och sektorsspecifik kontext. Vilka säkerhetsåtgärder kräver de hot, rättsliga krav, informationstyper och förväntningar som gäller i samhället i stort och för den bransch eller sektor som organisationen tillhör? • Inför säkerhetsåtgärder som baseras på etablerade standarder eller ramverk för att skapa ett generellt skydd (”hygiennivå”). Därefter kan säkerhetsåtgärder väljas och införas baserat på risk analyser, som i sin tur inkluderar eller baseras på analyserna av de externa och interna förutsättningarna och hotbilden (se avsnittet ”Riskanalyser” längre fram). A NA LY SER AV I N T ER NA OC H E X T ER NA FÖRU TSÄT T N I NGA R

Att analysera de interna och externa förutsättningarna är något som man behöver göra grundligt åtminstone en gång. Det är lämpligt att göra sådana analyser när man är nytillträdd i rollen som informationssäkerhetschef (eller motsvarande) för att skaffa sig själv kunskap om förhållandena i och utanför organisationen. Dessutom är det ett bra tillfälle att lära känna olika personer och roller i organisationen och presentera sig själv, eftersom analyserna gärna kan ske i intervjuform. Som nämnts tidigare behöver styrningen av informationssäkerhet vara cykliskt, och då kan dessa analyser vara återkommande exempelvis på årsbasis. Har man gjort gedigna analyser första gången har man skapat en struktur och metod för detta och det räcker sedan med att identifiera förändringar. Eftersom allt är i ständig förändring bör man dock ständigt och dagligdags vara observant på viktiga förändringar internt och externt.

191

4 Styrning av informationssäkerhet Delar som bör omfattas vid analys av interna förutsättningar är: • Organisationens verksamheter. Vilka karaktärsdrag har dessa och vilka uppdrag? Vilka kärnverksamheter och stödverksamheter finns? Vilka är mest kritiska och måste fungera? Vilken storlek har de och hur är de organiserade och lokaliserade? • Organisationens styrning. Hur styrs organisationen? Av vilka och på vilka nivåer? Vilka styrmodeller och ledningssystem finns? Hur styrs närliggande områden som (annan) säkerhet, IT, risk och kvalitet? Hur styrs organisationen informellt, finns t.ex. starka personer som styr bakom kulisserna? • Organisationens behov och mål. Vilka visioner, mål, behov och värdegrunder finns? Finns outtalade och informella mål och ideal i organisationen? • Organisationens informationstillgångar. Vilka är de viktigaste (utifrån KRT) informationstyperna i organisationen? Vilka huvudsakliga informationssystem finns? Hur ser IT-miljön ut? Vilka informationstillgångar är mest kritiska för organisationen, dess kunder och andra aktörer? Finns samhälls viktig information eller säkerhetsskyddsklassad information? Delar som bör omfattas vid analys av externa förutsättningar är: • Informationssäkerhet i samhället. Hur ser utvecklingen av informationssäkerhet ut i samhället: internationellt, nationellt, inom branschen/sektorn, regionalt och lokalt på orten? Vilka nya ramverk, standarder, modeller och metoder är på väg att förändras eller lanseras? Vilka nya typer av tekniska förändringar är på väg att ske? • Rättsliga krav. Vilka lagar, förordningar och föreskrifter ställer krav på organisationens informationshantering och informationssäkerhet? Detta kallas ofta för rättsanalys och

192

4 Styrning av informationssäkerhet är självklart en fundamental del för att förstå vilka formella krav som ställs på informationssäkerhet. En rättsanalys bör också innefatta kommande och förväntade rättsliga krav. Vilka författningar kan förväntas att förändras eller tillkomma de närmsta åren? Vad har t.ex. föreslagits i SOU eller är på gång inom EU? Vilka viktiga avtal finns? • Omvärldens behov och förväntningar. Vilka är organisationens kunder, klienter eller andra avnämare? Vilka andra intressenter finns? Vilka krav, behov och förväntningar har de på organisationens informationssäkerhet? Formellt och uttalat, informellt och outtalat? • Externa informationstillgångar. Vilken extern information är organisationen beroende av? Finns outsourcad informationshantering? Vilka molntjänster används? R ISK A NA LYSER

Riskbegreppet gicks igenom i kapitel 1 och definieras som sannolikhet, eller förväntad frekvens av en förväntad händelse, multi plicerat med den skada eller negativa konsekvens som händelsen förväntas medföra. Om den förväntade händelsen har en negativ konsekvens är den att betrakta som ett hot, dvs. om händelsen inträffar så är den en incident. En riskanalys är ett systematiskt tillvägagångssätt att identifiera hot som sedan värderas utifrån de båda faktorerna sannolikhet och konsekvens. En risk kan alltså sägas vara ett hot som man har graderat i allvarlighet både utifrån hur troligt man bedömer det vara att hotet ska realiseras och hur svåra eller dyra konsekvenserna blir om detta sker. Syftet med riskanalyser är naturligtvis att ge ett stöd för vilka säkerhetsåtgärder som behöver införas, men ett viktigt delsyfte är också att skapa ett säkerhetsmedvetande i den aktuella verksamheten – framförallt hos dem som genomför riskanalysen, men även hos dem som tar del av resultatet. Riskanalyser kan göras i olika situationer och för olika objekt. De kan göras för t.ex. en hel organisation, en delverksamhet som

193

INFORMATIONSSÄKERHET I vårt alltmer digitaliserade samhälle flödar information mellan företag, myndigheter, privatpersoner och molnleverantörer. De flesta organisationer är helt beroende av fungerande IT och anslutning till internet. Utvecklingen går i ett rasande tempo och nya tekniker och företeelser – som internet of things, blockchain och artificiell intelligens – innebär ytterligare utmaningar i framtiden. Digitaliseringen sker även av mindre nogräknade aktörer, och internet har därför också blivit en arena för brottslighet, spionage, terrorism och krigföring. I denna miljö är det av yttersta vikt att organisationer i alla branscher och sektorer har en god informationssäkerhet. Det handlar om att uppnå och bevara informationens konfidentialitet, riktighet och tillgänglighet, oavsett om informationen hanteras av IT-system, i pappersform eller direkt av oss människor i form av tal. Boken behandlar bland annat informationssäkerhetsrelaterade hot och säkerhetsåtgärder, och hur man kan arbeta systematiskt med informationssäkerhet och öka säkerhetsmedvetandet i organisationer.

Art.nr 39697

studentlitteratur.se