Sedan mitten av 1990-talet har en brittisk standard för informationssäkerhet funnits och sedan två år tillbaka finns den svenska standarden SS 62 77 99. Men ännu har inte arbetet med standarderna slagit igenom i konkreta certifieringar. Enligt internationell statistik över antalet registrerade certifikat finns bara tre svenska företag registrerade. Därtill kan visserligen läggas ett litet antal företag med verksamhet i Sverige som har certifikat registrerade i andra länder. Inte ens säkerhetsbranschen själva tycks se något värde i att certifiera sin informationssäkerhet. De konsulter som arbetar med att hjälpa företagen att införa ledningssystemet för informationssäkerhet är inte själva certifierade.
– Jag tycker det är skandal, säger Erik Nordlund. Det borde vara väldigt bra marknadsföring för satsningar på informationssäkerhet, men uppenbarligen vill inte informationssäkerhetsbranschen gå före.
Konsulterna rider på vågen
Incitamenten för att certifiera sitt arbete med informationssäkerhet är kanske inte tillräckliga? Än så länge finns det inget större företag som ställer krav på att deras underleverantörer ska vara informationssäkerhetscertifierade.
– Konsulterna kanske inte ser någon affärsnytta med en certifiering utan de bara rider på en våg, eller så kanske kunderna helt enkelt inte ställer frågan om de har ett certifikat och eftersom kostnaden för att certifiera sig är ganska hög så avstår man helt enkelt från att göra det, säger Erik Nordlund.
Standarden tappar trovärdighet
Standarden strukturerar upp arbetet med informationssäkerhet och tar ett brett grepp om säkerhetsfrågan. Informationssäkerhet är ett stort begrepp och kan på det sättet jämföras med kvalitetsbegreppet.
En certifiering av informationssäkerheten är en garanti för att företaget verkligen lever upp till kraven som standarden ställer. Utan certifiering finns risken att standarden på företagens informationssäkerhetsarbete sakta sänks.
– Om inte ens branschen själv inser värdet av att certifiera sig enligt standarden finns risk att det blir problem med trovärdigheten kring standarden, säger Erik Nordlund.
C2 tackar certifieringen
C2 Management är ett relativt litet konsultföretag som säljer ett it-stöd för ständiga förbättringar. De har valt att satsa på att certifiera sig enligt informationssäkerhetsstandarden.
– Vi kan tacka certifieringen för många av våra kunder, konstaterar Jan-Olov Orvegård, vd för C2 Management.
Certifiering var en självklarhet för C2 Management och orsakerna till det var flera. De ser till exempel en tydlig affärsnytta med certifiering eftersom de fått flera kunder. Det ger också en trygghet för kunderna vilket gör att de kan arbeta även med stora kunder och till sist menar Jan-Olov Orvegård att certifieringen säkrar informationen kring de interna resurserna.
Litar på varandra
Det Norske Veritas, DNV, är det enda företaget i Sverige som har ackrediterats för att certifiera enligt informationssäkerhetsstandarden.
– Konstigt nog har vi fler certifieringar i länder som till exempel Ungern, Italien och Kina än i Sverige, säger Jan Ekberg på DNV.
Han menar att det förmodligen finns flera orsaker till varför certifieringen ännu inte slagit igenom. En kan vara att företagen än så länge har fullt upp med arbetet med övergången till nya ISO 9000. En annan kan vara att vi i Sverige är mer förskonade från korruption än omvärlden och att vi därför helt enkelt litar på varandra.
Ingen har drabbats hårt
Så vitt man vet har inget publikt företag i Sverige hittills drabbats hårt av brister i informationssäkerheten vilket gör att riskbenägenheten är större i svenska företag än i många andra länders.
– I Sverige ligger vi långt efter internationellt sett när det gäller informationssäkerhetstänkande. Man behöver ju bara göra ett stopp på Arlanda för att få höra allt möjligt som det pratas om i mobiltelefonerna. Dessutom har det ju inträffat incidenter under senare år, även om viljan att berätta om egna misstag inte är speciellt stor, säger Jan Ekberg och fortsätter:
– Hade standarden släppts idag hade den förmodligen inte benämnts informationssäkerhet utan bara säkerhet eftersom den i stort sett täcker en organisations hela säkerhetsbehov.