Styrning av informationssäkerhet 22

Igår pratade vi lite om förvaltningssäkerhet och dess vikt kopplat till vårt informationssäkerhets-arbete. Idag tänkte vi gå in på det andra stora området som är Styrning. Det är här vi talar om saker så som Policys, Personalfrågor, Leverantörsförhållanden, Organisation och Efterlevnad. Det är vanligt förekommande att brister i säkerheten har sin grund i en oförståelse för IT och informationssäkerhet samt att ansvarsfrågan är diffus i bästa fall, i sämst fall inte uttalad alls.
Vår informationssäkerhetspolicy är en kritisk nyckelkomponent i allt vårt arbete kring dessa frågor. Här i stipulerar vi de krav som ställs på vår information, våra användare, våra leverantörer och andra intressenter. Helst skall denna policy vara bilagd som ett krav till alla anställningsavtal och leverantörskontrakt. Informationssäkerhetspolicyn skall härleda sina krav från verksamhetsstrategin, författningar och avtal samt den nuvarande och förväntade hotbilden.
Vi bör säkerställa att vår organisation är strukturerad på sådant sätt att inga intressekonflikter kan hota vår informationssäkerhet. T.ex. skall inte interna granskande enheter ligga under några levererande enheter som de skall granska. Detta gör att t.ex. ett dataskyddsombud skall rapportera direkt till ledningen enligt Dataskyddsförordningen.

Vanligt förekommande är även att dialogen mellan organisationen och ledningen uteblir vilket får konsekvenser i alla led. Genom att engagera sin ledning aktivt i säkerhetsarbetet genom riskarbete så skapas en förståelse för området och med t.ex. den nya Dataskyddsförordningen och dess höga viten på upp till 4% av företagets globala omsättning vid informationsläckage är detta en så allvarlig risk att detta arbete inte kan förbises.

Vikten av funktioner inom organisationen för efterlevnad och intern revision ökar drastiskt i samband med de nya EU lagar som nu kommer in i alla företags vardag. Tidigare var det mest bank och finans som behövde bry sig om dessa frågor då de är kontrollerade av Finansinspektionen, men nu kommer alla företag och offentliga förvaltningar att lyda under lagkrav kopplat till informationssäkerhet och kommer att kontrolleras av Datainspektionen. Alla företag måste skaffa sig fortlöpande kunskap om vilka krav man har på sig och kontrollera fortlöpande hur väl man uppfyller dessa.

Med grova viten och lagbrott i åtanke måste alla se över sina leverantörsavtal. Dataskyddsförordningen kommer att efter sin transitionsperiod om två år att bli lag och därigenom måste företag säkerställa att det inte finns några otydligheter kopplat till leverantörsavtal kring t.ex. ansvarsfrågor. Sitter man idag i avtal som kommer vara gällande till efter årsskiftet 2017/2018 måste dessa kanske omförhandlas. Alla nya avtal som avses tecknas måste ta höjd för de frågor som berör informationssäkerheten.

Mål:

Att organisationen skall ha en tydlig struktur gällande ansvar och informationssäkerhet samt att organisationen har kunskap om alla lagar och regler som är gällande för organisationen och hur väl dessa krav uppfylls.

Säkerställ att:
  • Det finns en utförlig informationssäkerhetspolicy där allt ansvar är tydligt utsett och kommunicerat samt att denna policy fortlöpande underhålls och granskas gällande efterlevnad.
  • Det inte råder några tvivel om vilka externa lagar och andra krav som ställs på organisationen.
  • Att det finns en funktion för efterlevnadskontroll och intern revision och att denna rapporterar direkt till den högsta ledningen
Kontrollfråga:

Finns det en informationssäkerhetspolicy som är godkänd av ledningen och kommunicerad till alla anställda och alla andra intressenter?

Vill du veta mer:

Boka en workshop med våra säkerhetsexperter. Addlevel håller uppskattade workshops i strategisk informationssäkerhet med fokus på kritiska säkerhetskontroller för ett effektivt informationssäkerhetsskydd, vilka synergieffekter det ger med minskade förvaltningskostnader, och hur detta kan användas i kravarbete i upphandlingar eller i utvärdering av molntjänster.

För hela utbudet av workshops se addlevel.se eller kontakta Mårten.

Posted in Blog, CSC, CSC20XMAS, Informationssäkerhet, Security.