Förvaltning informationssäkerhet 21

Hittills i denna julkalender har vi talat om tekniska säkerhetskontroller, dock vet vi att dessa inte är den enda pusselbiten. För att de tekniska kontrollerna skall kunna fungera måste en hel del andra processer och mjuka värden vara på plats. Idag tänkte vi kort nämna förvaltning. Förvaltning eller Operations hanterar områden så som hantering av tillgångar, fysisk säkerhet, kontinuitetshantering, systemanskaffning och förvaltningssäkerhet. Här har ITIL och olika förvaltningsmetoder sin plats.
En av de absolut viktigaste frågorna för förvaltningssäkerhet är processen för förändringshantering. I princip alla de kritiska säkerhetskontroller vi tittat på tidigare har ett beroende till denna process och att den finns etablerad och följs utan avsteg.

Det är även inom förvaltning som vi identifierar och klassificerar all vår information. Detta arbete i sig är också en förutsättning för att vi på ett bra sätt skall kunna hantera vår informationssäkerhet, för utan denna klassificering måste vi hantera all vår information som det mest kritiska och känsliga vi har. Detta skulle betyda att vår kostnader skulle skena och verksamheten skulle säkerligen bli lidande av alla

begränsningar som skulle behöva införas för att skydda all information med adekvata skyddsmekanismer. Så vi behöver identifiera våra olika behov kring konfidentialitet, riktighet och tillgänglighet för all vår information, vilket i sin tur styr de system som tillhandahåller informationen. Det kan vara värt att betona att det inte räcker med konfidentialitet (vilken är den kanske allra vanligaste variabeln att titta på) då t.ex. Dataskyddsförordningen klassar riktighet och tillgänglighet precis lika högt. Detta gör att ett frånfall av tillgänglighet kan vara lika allvarligt (och vitesgrundande) som läckage av information.

Mål:

Att all förvaltning och alla tillhörande processer sker med informationssäkerheten i fokus.

Säkerställ att:
  • Ett Asset management system eller CMDB är etablerat och att det innehåller alla vår objekt
  • En förändringshanteringsprocess är implementerad och att den följs kopplat till alla förändringar i IT-miljön, både gällande förvaltning och utveckling.
  • All information är klassificerad i termer om Konfidentialitet, Riktighet och Tillgänglighet.
Kontrollfråga:

Är all information klassificerad och har en ansvarig ägare?

Vill du veta mer:

Kontakta Mats Hultgren.

Posted in Blog, CSC, CSC20XMAS, Informationssäkerhet, Security.