Dags att komma igång med informationssäkerhet

Cyberhot och cyberattacker ökar i takt med att digitaliseringen ökar. Enligt SÄPO:s årsbok 2022 måste säkerhetskänslig verksamhet ha ett starkt skydd för att möta dagens hotbild. Även Nationellt cybersäkerhetscenter (NCSC) rekommenderar att Sveriges organisationer arbetar systematiskt med informationssäkerhet. Ändå har många av landets verksamheter långt kvar innan de kan motstå hot och attacker. Här är vad en organisation ska tänka på när det kommer till informationssäkerhet:

8 tips om informationssäkerhet

1. Inse att informationssäkerhet innebär mer än teknik. Informationssäkerhet nämns oftast i samband med teknik, men det är viktigt att förstå att den är så mycket mer. Människor och processer måste också inkluderas, och alla delar är lika viktiga för att lyckas. För att skapa ett hållbart skydd krävs systematiskt och kontinuerligt arbete utifrån tillgångar, hot och risker.
2. Arbetet bör kopplas till organisationens riskhantering. Förutom säkerhetsrisker hanterar de flesta organisationer andra typer av risker, till exempel finansiella risker, naturkatastrofer, sabotage och konkurrerande teknologier. Informationssäkerhetsrelaterade risker ska behandlas likadant som övriga risker.
3. Säkerställ att ledningen tar ansvar för att informationssäkerheten. Endast ledningen kan ta ett beslut att INTE göra något åt säkerhetsriskerna. Med tanke på hur cyberattackerna ökar innebär ett beslut att INTE investera i informationssäkerhet att man som verksamhet och ledning tar en stor finansiell risk. Är ledningen beredd att riskera detta?
4. Se över rutiner och processer. Börja kartlägga processer och rutiner, vem som har tillgång till vilken information och vilka system samt nivån på dagens säkerhetstänk. Med en sådan analys kan du börja diskutera hur informationssäkerhet kan säkerställas i just din verksamhet.
5. Säkerställ rätt resurser. Informationssäkerhetsarbetet måste bedrivas systematiskt och kontinuerligt för att säkerställa en tillräcklig nivå av informationssäkerhet i organisationen. Informationssäkerhet är inte en teknisk lösning som köps in en gång för alla – det är en ständigt pågående process (plan, do, check, act).
6. Inled med analys. Systematiskt informationssäkerhetsarbete måste alltid anpassas efter en organisations specifika omständigheter. Att börja med att analysera både omvärlden och den egna verksamheten rekommenderas. Vilka är de mest värdefulla tillgångarna och hur ser hotbilden ut?
7. Utveckla en säkerhetspolicy. Med hjälp av styrdokument kan du säkerställa att nivån på informationssäkerhet upprätthålls och det blir enklare att säkerställa att exempelvis nyanställda får rätt information om vilka processer som gäller.
8. Ta hjälp. Att komma i gång med ett systematiskt informationssäkerhetsarbete är ett stort projekt som kan kännas lite övermäktigt att driva helt själv.

Läs mer här.