Upp till de anställda
En vanlig företeelse som Rita Lenander är starkt kritisk emot är att företag överlåter ansvaret för säkerheten för inpassering i sina datornätverk till den enskilde anställde. De anställda förväntas välja säkra lösenord själva får välja lösenord till sin inloggning på det interna datornätverket.
– Att inte fackföreningar protesterat mot detta tidigare är häpnadsväckande. Jag menar att det är arbetsgivarens ansvar att stå för en säker metod för inpassering i nätverket. Samma säkerhetsnivå som för inpassering i företagens lokaler bör gälla.
Hon tror att inom några år kommer företag att begära certifiering för informationssäkerhet av varandra, och att det kommer att bli ett självgående hjul som driver sig självt fram till fler och fler certifierade företag.
– Att säkra sin viktiga information i företaget kommer att bli skillnaden mellan att vinna eller försvinna, tror Rita Lenander.
Oberoende av vart annat
Certifieringsarbetet har börjat i Sydkraft-koncernern och görs gemensamt i tre steg inom Sydkrafts olika bolag inom koncern. Fram till halvårsskiftet juni/juli 2003 ska nuläget inom koncernen beskrivas och en riskbedömning utföras, steg ett. Därmed får man fram i vilken grad företaget redan uppfyller informationssäkerhetsstandarden ISO/IEC 17799. Sedan påbörjas åtgärder för att uppfylla standarden, steg två, och till årsskiftet 2004/2005 ska alla delar av koncernen vara redo för certifiering.
Certifieringen kommer att göras enskilt för varje bolag inom koncernen, och är frivillig till skillnad från de två andra stegen.
Olika säkerhetskrav
– Det är praktiskt omöjligt att göra på något annat sätt, eftersom kraven på säkerheten är så skiftande mellan olika bolag inom koncernen. Det är inte relevant, eller ens önskvärt, att anpassa alla bolag till den nivå som krävs till exempel för kärnkraftsverksamhet.
– Min vision för när vårt ledningssystem för informationssäkerhet är på plats är att det ska bli mycket enklare att arbeta inom organisationen eftersom man känner sig trygg med den nivå på informationssäkerheten som man valt. Vi kommer därmed att kunna tillåta verksamheter och beteenden som vi av säkerhetsskäl inte kunnat ha tidigare.
Bakgrund/ISO 17799 och certifiering för informationssäkerhet
Certifieringen av företag med ledningssystem för informationssäkerhet går trögt. Inte ens konsultföretagen inom informationssäkerhetsbranschen kan visa upp några certifikat.
Sedan mitten av 1990-talet har en brittisk standard för informationssäkerhet funnits och sedan två år tillbaka finns den internationella standarden ISO/IEC 17799. Men ännu har inte arbetet med standarderna slagit igenom i konkreta certifieringar. Enligt internationell statistik över antalet registrerade certifikat finns bara fyra svenska företag registrerade. Swedac, som ackrediterar certifieringsbolag, uppskattar dock att denna standard kommer att få större genomslag än ISO 9000 och ISO 14000.
publicerad 22 januari 2003