PAPAI logo

Ledningssystem för informationssäkerhet

Säkerhetsarbete utgående från verksamhetens krav

Alltför ofta utgår säkerhetsarbetet från ett tekniskt perspektiv. Budskapen från säljare och marknadsförare är fokuserade på senaste teknik och man ser de tekniska lösningarna som den enkla och snabba vägen.

En god IT-säkerhet kan dock inte uppnås enbart genom tekniska insatser. I minst lika hög grad krävs engagemang och förankring av säkerhetsarbetet hos alla i organisationen.

För att kunna genomföra detta och välja rätt kombination av förebyggande arbete, utbildning och tekniska insatser måste säkerhetsarbetet utgå från den egna verksamheten. Det måste börja uppifrån på ett övergripande plan för att sedan brytas ner till en implementering som har förutsättningar att hantera den komplexa och föränderliga verkligheten. Man kan inte gå den motsatta vägen och sätta sina förhoppningar till att en viss teknisk utrustning skall lösa alla problem.

LIS

Verksamhet
Allt säkerhetsarbete måste utgå från verksamhetens krav. Därför är det nödvändigt att kartläggga alla informationstillgångar och vilka krav som ställs på dessa t.ex. i fråga om sekretess, riktighet och tillgänglighet.

Omgivning
På samma sätt måste omgivningen kartläggas för att identifiera den hotbild som organisationen står inför.

Säkerhetspolicy
Organisationens mål och visioner med informationssäkerhetsarbetet beskrivs i en policy. Den övergripande säkerhetspolicyn skall hållas kort och får ej innehålla tekniska detaljer för att den skall kunna leva många år utan förändring. Detaljerna utarbetas sedan i områdesspecifika policies, riktlinjer, instruktioner etc.

Riskanalys
 Analys är kärnan i säkerhetsarbetet. Här identifieras vilken påverkan hoten har mot organisationens informationstillgångar. Man skapar sig en uppfattning om de risker man utsätts för och tar fram förslag till åtgärder inf&omul;r planarbetet.

Säkerhetsplan
I planen fördelas resurser så att policyn kan förverkligas. Med utgångspunkt från policies och resultaten från riskanalysen initieras olika säkerhetshöjande aktiviteter som
- säkerhetsutbildningar
- framtagning av riktlinjer och instruktioner
- utveckling av incident- och katastrofhantering
- revision och uppföljning

Säkerhetsarkitektur
På arkitekturnivån närmar vi oss tekniken men på ett produktoberoende sätt. Här väljs den kombination av olika tekniker som ger de bästa egenskaperna i organisationens infrastruktur och IT-system.

Implementering
Först när vi kommer hit till den lägsta nivån intresserar vi oss för produkter och deras egenskaper. Innan vi väljer säkerhetsprodukt måste vi gjort klart hela säkerhetsarbetet. Det är ingen mening med att skaffa säkerhetsprodukter utan att dessförinnan ha analyserat vad som är skyddsvärt och på vilket sätt det skall skyddas. Här ägnar vi oss också åt praktiska säkerhetsdetaljer i den dagliga driften.