Informationssäkerhet snart skillnaden mellan att vinna och försvinna

Intresset för att certifiera företaget enligt informationssäkerhetsstandarden ISO/IEC 17799 är hittills svalt. Men det måste det bli ändring på framöver, då en sådan certifiering kommer att bli skillnaden mellan att vinna eller försvinna menar Rita Lenander, nyligen tillträdd informationssäkerhetschef på Sydkraft.

Sydkraft-koncernen håller för närvarande på med att anpassa sig till standarden för informationssäkerhet ISO/IEC 17799. Det är ett stort projekt för en koncern som Sydkraft, Sveriges tredje största elleverantör efter Vattenfall och Fortum. Arbetet på de olika enheterna leds av Rita Lenander som tillträdde tjänsten som informationssäkerhetschef på Sydkraft i somras. Hon bedömer inte att några omfattande åtgärder behövs för att uppfylla standarden.

– Energibranschen är traditionellt duktig på informationssäkerhet och att hantera risker. Vi har ju dessutom kärnkraft i vår verksamhet med de två reaktorerna i Oskarshamn, vilket ställer exceptionellt höga krav på informationssäkerheten, säger Rita Lenander.

Upp till de anställda

En vanlig företeelse som Rita Lenander är starkt kritisk emot är att företag överlåter ansvaret för säkerheten för inpassering i sina datornätverk till den enskilde anställde. De anställda förväntas välja säkra lösenord själva får välja lösenord till sin inloggning på det interna datornätverket.

– Att inte fackföreningar protesterat mot detta tidigare är häpnadsväckande. Jag menar att det är arbetsgivarens ansvar att stå för en säker metod för inpassering i nätverket. Samma säkerhetsnivå som för inpassering i företagens lokaler bör gälla.

Hon tror att inom några år kommer företag att begära certifiering för informationssäkerhet av varandra, och att det kommer att bli ett självgående hjul som driver sig självt fram till fler och fler certifierade företag.

– Att säkra sin viktiga information i företaget kommer att bli skillnaden mellan att vinna eller försvinna, tror Rita Lenander.

Oberoende av vart annat

Certifieringsarbetet har börjat i Sydkraft-koncernern och görs gemensamt i tre steg inom Sydkrafts olika bolag inom koncern. Fram till halvårsskiftet juni/juli 2003 ska nuläget inom koncernen beskrivas och en riskbedömning utföras, steg ett. Därmed får man fram i vilken grad företaget redan uppfyller informationssäkerhetsstandarden ISO/IEC 17799. Sedan påbörjas åtgärder för att uppfylla standarden, steg två, och till årsskiftet 2004/2005 ska alla delar av koncernen vara redo för certifiering.

Certifieringen kommer att göras enskilt för varje bolag inom koncernen, och är frivillig till skillnad från de två andra stegen.

Olika säkerhetskrav

– Det är praktiskt omöjligt att göra på något annat sätt, eftersom kraven på säkerheten är så skiftande mellan olika bolag inom koncernen. Det är inte relevant, eller ens önskvärt, att anpassa alla bolag till den nivå som krävs till exempel för kärnkraftsverksamhet.

– Min vision för när vårt ledningssystem för informationssäkerhet är på plats är att det ska bli mycket enklare att arbeta inom organisationen eftersom man känner sig trygg med den nivå på informationssäkerheten som man valt. Vi kommer därmed att kunna tillåta verksamheter och beteenden som vi av säkerhetsskäl inte kunnat ha tidigare.

Bakgrund/ISO 17799 och certifiering för informationssäkerhet

Certifieringen av företag med ledningssystem för informationssäkerhet går trögt. Inte ens konsultföretagen inom informationssäkerhetsbranschen kan visa upp några certifikat.

Sedan mitten av 1990-talet har en brittisk standard för informationssäkerhet funnits och sedan två år tillbaka finns den internationella standarden ISO/IEC 17799. Men ännu har inte arbetet med standarderna slagit igenom i konkreta certifieringar. Enligt internationell statistik över antalet registrerade certifikat finns bara fyra svenska företag registrerade. Swedac, som ackrediterar certifieringsbolag, uppskattar dock att denna standard kommer att få större genomslag än ISO 9000 och ISO 14000.

Kvalitetsmagasinet

Kvalitetsmagasinet Premium

Full tillgång till strategiska artiklar och smarta verktyg för bland annat verksamhetsutveckling, kvalitetssystem och ledarskap.