Informationssäkerhet blir allt viktigare för den moderna organisationen. Nyheter om säkerhetsöverträdelser och cyberattacker mot stora organisationer och offentliga institutioner är något som allt oftare förekommer på löpsedlarna. Ofta på grund av ett felaktigt klick, en bortglömd dator eller bristande efterlevnad av GDPR.
Även om de allra flesta organisationer har säkerhetssystem på plats som bör förebygga risker, är det inte alla som har tillräcklig säkerhetskapacitet. Det är upp till ledningen att garantera informationssäkerheten, och vi har sammanställt ett antal best practices för dig som gärna vill ta tempen på arbetet med organisationens informationssäkerhet.
Ta ISO 27001 som utgångspunkt
Det finns ett antal standarder som kan hjälpa till med att säkerställa en organisations informationssäkerhet och den vanligaste är ISO 27001.
Standarden ställer höga krav på ledningssystemet för informationssäkerhet, vilket med systematisk tillgång till hantering av affärsinformation ska se till att data förblir säker.
ISO 27001 kan implementeras i både små som stora organisationer och alla branscher. Det finns ett antal best practices som du med fördel kan följa. Innan du kommer så långt bör din organisation dock ta en grundlig titt på vilken värdefull information organisationen har och hur den lagras. En omfattande kartläggning av det nuvarande arbetet med informationssäkerhetsinsatser är avgörande för ett framgångsrikt resultat med standarden.
Med kartläggningen på plats är det en god idé att ha följande i åtanke:
1) Få ledningens stöd
Informationssäkerhet kan inte implementeras eller upprätthållas utan ledningens stöd. Det är ett projekt som börjar i toppen och arbetar sig neråt.
Ledningens engagemang ska säkerställa att det finns tillräckligt med resurser för att implementera, hantera, underhålla samt utveckla informationssäkerhet.
2) Riskbedömningar som utgångspunkt
Oavsett vilken del av informationssäkerheten som behöver åtgärdas är det viktigt att det alltid sker utifrån ett riskbaserat synsätt. Sårbarheter och hot måste identifieras så att riskbedömningar kan göras i förhållande till organisationens riskaptit.
Målet är att få en övergripande bild av de risker som organisationen står inför, så att resurserna kan prioriteras och viktigast av allt, att de identifierade riskerna kan minimeras.
LÄS OCKSÅ: Riskbedömningar ska alltid vara affärsbaserade
3) Förberedelse av SoA
Standarden kräver att man skapar en Service Oriented Architecture (SoA, eller tjänsteorienterad arkitektur på svenska) som dokumenterar omfattningen av kontrollerna för varje post.
Med SoA-programvara säkerställer du att organisationen täcker alla relevanta punkter och viktigast av allt, att arbetet och besluten dokumenteras korrekt.
4) Utbildning av anställda
Informationssäkerhet är beroende av medarbetarna och därför bör utbildnings- och informationsprogram hållas regelbundet.
Det finns ingen teknik som kan skydda information från mänskliga misstag, till exempel att klicka på fel länk – därför måste medarbetarnas beteende tas på allvar.
5) Regelbunden genomgång och uppdatering
För att informationssäkerhetssystemet ska vara effektivt bör det granskas av ledningen med jämna mellanrum som en del av den interna revisionen.
Resultaten av revisionen och den regelbundna granskningen ska dokumenteras och bevaras, liksom eventuella rekommendationer ska genomföras.
Varför ska jag implementera ISO 27001?
Att implementera ISO 27001 kan verka som en omfattande process, men det finns många fördelar med att implementera standarden.
Först och främst fungerar ISO 27001 som en systematisk metod för hantering av informationssäkerheten. Det är ett verktyg som hjälper verksamheter att skydda värdefull information, inklusive personuppgifter på ett tryggt och tillförlitligt sätt.
Dessutom gör ISO 27001 det möjligt att undvika kostsamma böter och ekonomiska förluster i samband med oavsiktliga brister i eller attacker på informationssäkerheten.
LÄS OCKSÅ: NIS2 vs. ISO 27001: Förstå sambandet