Behovet av styrning kring informationssäkerhet

Med en mängd nya lagar och krav som under det kommande året kommer att påverka företag och organisationer i Sverige, så är informationssäkerhet i ropet som aldrig förr. Efter att den initiala chocken lagt sig så påbörjar nu de allra flesta sitt arbete med att ta fram aktivitetslistor för vad som behöver vara landat och klart inom det första halvåret 2018. Ledningsgrupper, jurister och förvaltningar jobbar med kartläggning av informationsbehandling och nya avtal. Någonstans på resan så upptäcker de vad vi talat om länge, vilket är att nästan alla dessa regelverk och lagar är riskbaserade och förutsätter en aktiv riskförvaltning och styrning.

Hur är det då ställt med detta arbete på våra svenska företag? Få har faktiskt ett aktivt arbete kring risk och styrning. I många fall finns det kanske en gammal IT-policy och en riskmodell i form av en powerpoint som beskriver en metod. Informationsklassning har funnits på agendan i flera år men har oftast inte lämnat planeringsstadiet. Rent krasst har informationssäkerheten ofta fått stå tillbaka för IT-säkerheten. Med det menar vi att den budget som funnits har gått till att köpa in brandväggar och andra skyddsteknologier med tillhörande implementationer. Detta är inget underligt då dessa skyddsmetoder är väldigt påtagliga och de har säljare som aktivt bedriver marknadsbearbetning kring dem, samtidigt som det står att läsa i nyheterna hur det ena företaget efter det andra blir hackat. Att då stanna upp och se över sina styrdokument och sin informationsklassificering känns inte lika konkret som att stoppa in den senaste brandväggen som enligt säljaren löser alla säkerhetshot som finns.

På Addlevel har vi under lång tid hjälpt företag att strategiskt arbeta upp sin informationssäkerhet. Vi gör detta genom granskningar, roadmap-arbete och implementationer av styrande dokument och processer. Vi är övertygade om att en organisation inte kan skydda sig själv om den inte vet vad dess skyddsvärda tillgångar är. Eller som Fredrik den store sade: ”Försöker du försvara allt så försvarar du inget”.

Vägen till framgång i att etablera ett hållbart skydd och att kunna följa kommande regelverk och lagar, går genom ett aktivt arbete med styrdokument och riskhantering.

För många är detta ett oöverstigligt berg av arbete och ofta finns inte expertisen till att lägga grunden för ett sådant arbete inom den egna organisationen. Därför har vi nu paketerat en hörnsten av styrdokument kring informationssäkerhet som organisationer relativt enkelt kan anpassa till sina egna behov och strukturer. Dokumenten utgår från ISO 27002 och våra erfarenheter inom informationssäkerhetsarbete.

Är ditt företag eller organisation i behov av styrdokument kring informationssäkerhet så tveka inte att kontakta oss på info@addlevel.se Med dessa styrdokument som grund kan sedan organisationen mappa sina säkerhetskontroller på ett informerat och riskbaserat sätt. Detta leder i sin tur till bättre säkerhet där den behövs och till rätt kostnad.

Med denna bloggpost önskar vi på Addlevel er alla en God Jul och ett gott nytt år! Låt oss hoppas att helgerna förflyter utan incidenter och att tomten endast för med sig glada överraskningar i paketen.

Med juliga hälsningar,
Mats Hultgren

Namn
Telefon
E-post
Meddelande

Mats Hultgren

Cyber Security Advisor at Addlevel with engagements ranging from implementation of strategic security frameworks to strategic governance of IT-services.

mats.hultgren@addlevel.se

Posted in Addlevel, GDPR, Informationssäkerhet, Security.