Hur du säkerställer ett adekvat skydd i en föränderlig och osäker värld

Informationssäkerhet , Nyhet , Omvärldsbevakning
måndag 4 mars 2024

Alfreds_Closeup_Planets_South_America_Hands_Earth_Globe_565128_1280x853

Involvera människan

Inom informationssäkerhet används ofta begreppet MTO som står för människa, teknik och organisation. Detta förhållande är mycket intressant då det är kopplat till hur informationssäkerhetsarbetet bedrivs och efterlevs i olika verksamheter.

Om du till exempel ska implementera ISO27000-serien i säkerhetskänslig verksamhet och ska efterleva kraven i Säkerhetsskyddslagen (2018:585), blir fokuset ofta på teknik och organisation. Det beror på att det är relativt enkelt att använda de standarder, mallar och exempel som ﬁnns tillgängliga för att sätta upp tekniska och organisatoriska skyddsåtgärder.

Sista delen, människan, är mer komplex och svårhanterlig. Människan kan nämligen inte rättas in i 1:or och 0:or. För att få denna ”subjektiva parameter” att fungera är det andra faktorer som behöver synkas för att få eﬀekt.

Personalsäkerhet, som är en säkerhetsskyddsåtgärd i Säkerhetsskyddslagen (2018:585), inkluderar säkerhetsprövning och utbildning av personal, vilket i högsta grad involverar kategorin människan. Personalsäkerhet nyttjas förstås på liknande sätt inom systematiskt informationssäkerhetsarbete liksom i ordinarie verksamhetsskyddsarbete. För att nå en fungerande säkerhetskultur i din verksamhet behöver personalsäkerheten vara centralt implementerad. Ett bra sätt för att få den att genomsyra hela verksamheten är att zooma ut och börja arbetet på makronivå.

Förhållandet makro-mikro

Det ﬁnns ramverk för klassning och hantering av information som väcker en del frågor när det gäller förhållandet mellan makro-mikro. Metoder för informationsklassiﬁcering som kommer av arbete med ISO27000-serien och förslag på skyddsåtgärder från exempelvis CIS Controls, är verktyg och arbetssätt på mikronivå. De verksamheter som endast har fokus på mikronivån (ramverket), riskerar ett glapp i säkerhetsarbetet. Att i stället zooma ut och inta ett tydligt makroperspektiv, skapar en helhetsbild för säkerhetsarbetet och i förlängningen ditt arbete med informations- och cybersäkerhet.

För att täcka detta glapp kan verksamheter med ”best practice” från säkerhetsskyddsarbetet arbeta med sitt verksamhetsskydd. Både säkerhetsskydd och verksamhetsskydd skyddar verksamhetens skyddsvärden mot negativ påverkan från antagonistiska hotaktörer. Här görs skillnad mellan fokus på nationell säkerhet (genom Säkerhetsskyddslagen [2018:585] benämnt som Sveriges säkerhet) och på skyddet för verksamhetens skyddsvärden för att motverka negativa konsekvenser såsom till exempel ﬁnansiella, ryktes- och legala risker.

Där säkerhetskänsliga verksamheter kan riskera viten på 10-tals miljoner, kan kommersiella verksamheter i stället se risker i uteblivna aﬀärer och minskad omsättning i miljardklassen.

Det ena är inte viktigare än det andra, men visar på vad som är minst lika prioriterat – om inte mer – för större kommersiella bolag med verksamhet globalt och som möter samma typer av hot från antagonister som säkerhetskänsliga verksamheter.

Med det sagt kan ett verksamhetsskyddskoncept tillämpas om det tar inspiration av säkerhetsskyddsarbetet och grundar sig på en säkerhetsskyddsanalys, där resultatet överförs i en säkerhetsskyddsplan med åtgärder inom områdena/domänerna: fysisk säkerhet, personalsäkerhet och informationssäkerhet. På motsvarande sätt kan verksamhetsskyddsanalyser göras som leder till verksamhetsskyddsplaner inom samma åtgärdsområden.

Nå maximal eﬀekt av dina åtgärder

Detta skapar en övergripande bild över verksamhetens skyddsvärden och gedigna beslutsunderlag för att på mest eﬀektiva sätt nyttja budget och resurser för att implementera och förvalta skyddsåtgärder. I detta identiﬁeras behov av att genomföra åtgärder på mikronivå, såsom att genomföra klassning av information för enskilda system, processer eller informationsklassningsobjekt.

Nu berör jag ett övergripande ämne som zoomar ut från området informationssäkerhet men det jag märker i näringslivet är att det ﬁnns en hög efterfrågan på samordning och ledning av säkerhetsarbetet på makronivå – då behövs detta för att i slutändan nå efterfrågad eﬀekt av åtgärder man genomför inom informationssäkerhet och som är i synk med åtgärder inom personalsäkerhet och fysisk säkerhet.

Om inte annat skapar det goda förutsättningar för att även få med människans roll i säkerhetsarbetet.

Läs gärna Alfreds tidigare artikel om vad en god säkerhetskultur är.

Alfred Stark
Säkerhetsskyddskonsult
0735457093
alfred.stark@basalt.se

Kontakta oss

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Hur du säkerställer ett adekvat skydd i en föränderlig och osäker värld

Involvera människan

Förhållandet makro-mikro

Nå maximal eﬀekt av dina åtgärder

More news