MSB: Ledningens kunskapsnivå måste öka
Informationssäkerhet Ledningsgruppen bär det slutgiltiga ansvaret för informationssäkerheten, inklusive riskerna för verksamheten. Därför har Myndigheten för samhällsskydd och beredskap (MSB) skapat träningsunderlag för ledningen att öva sig på, i hopp om att öka kunskapsnivån.
Information är värdefullt och behöver skyddas efter behov. Det kan vara saldot på ens bankkonto, patientjournaler eller styrsystem i kärnkraftverk. Förlorad eller felaktig information kan ha katastrofala följder, och därför är det viktigt att arbeta systematiskt menar informationssäkerhet, menar MSB.
Det är svårt att uppskatta vilken nivå den systematiska informationssäkerheten ligger på i svenska organisationer. Vad gäller offentlig sektor är MSB:s Infosäkkoll en indikator, men i dagsläget finns ingen komplett bild. Infosäkkollen från 2021 visade att stora delar av den offentliga förvaltningen inte arbetar systematiskt med informationssäkerhet, och att arbetet är eftersatt hos majoriteten av de svarande statliga myndigheterna trots att de har omfattats av MSB:s föreskrifter sedan 2009.
– Dels har ledningen eller ledarna inte tillräcklig kunskap om hur man bygger förmågan. Dels finns det inte tillräckligt med kompetens. När det går fel så är det inte sällan en fråga om den mänskliga faktorn, alltså att man på något sätt gjort ett hanteringsfel. Idag pratas det mycket om antagonistiska hot, och även om det också är en del av verkligheten så får man inte glömma att andra hot är mer förekommande. Man måste ta med sig alla säkerhetsaspekter till exempel när man digitaliserar.
Det säger Margareta Palmqvist, enhetschef för systematisk informationssäkerhet på MSB, i slutklämmen av myndighetens informationssäkerhetsmånad.
Meningen med månaden har varit att uppmärksamma allmänheten och företag på vikten av att hantera sin information säkert. Nytt för i år är även att locka fler till att arbeta med informationssäkerhet, på grund av rådande kompetensbrist.
– Det saknas kompetens brett inom cybersäkerhetsområdet, säger hon.
Övning ger färdighet
MSB har skapat ett underlag för att öka medvetenhet hos ledningsgrupper vad gäller informationssäkerhet.
– Det är ett sätt att belysa förbättringsområden i sitt sätt att leda och styra informationssäkerhetsarbetet. Ledningsgruppen har det övergripande ansvaret för att avgöra vilken säkerhet man vill ha, och de bär riskerna.
Vilka är dina tips för att förbättra informationssäkerhet inom företag och organisationer?
– Ta först reda på var organisationen står i arbetet. Hur många byggstenar har ni för att jobba systematiskt? Har ni till exempel policy, mål, tydliga mandat, arbetssätt för att upptäcka och minska risk? Bestäm sedan var förbättringsarbetet ska börja. Har ni känslig information? Har den rätt skydd? Eller upphandlar ni mycket? Ställer ni informationssäkerhetskrav i er upphandlingsprocess?
Hur stark bedömer MSB att informationssäkerheten i Sverige är idag?
– Din fråga kommer en aning för tidigt för att kunna ge ett aktuellt svar. I höst kommer resultatet från årets Infosäkkoll. Men man kan säga att det finns mycket kvar att göra i många organisationer, avslutar Margareta Palmqvist.
Här hittar du MSB:s träningsunderlag till ledningsgrupper. Tanken är att CISO:n, alltså organisationens informationssäkerhetssamordnare, ska leda övningen.
Här hittar du också MSB:s skrift om ledande personers roll inom informationssäkerhet.
