När vi ställer frågan till våra kunder om vilka resurser som deras verksamhet är mest beroende av så innehåller svaren alltid “vår personal och våra IT-system”. Efter lite följdfrågor nyanseras svaren till “kompetens och information”. För att arbeta med sina kompetensflöden finns området competence management, och vill man titta på hur verksamhetens beroende av information ser ut är verksamhetsnyttig informationssäkerhet ett bra verktyg i sammanhanget.
Vår benämning verksamhetsnyttig informationssäkerhet innebär en avgränsning. Området kan göras mycket omfattande och byggas med hjälp av ISO 27000-serien i form av ett ledningssystem för informationssäkerhet (LIS). Vår erfarenhet är dock att de flesta verksamheter har nytta av ett begränsat antal frågeställningar med tydlig koppling till verksamhet och affär, vilket gör aktiviteterna verksamhetsnyttiga och lönsamma. I de fall man i ett senare skede ser en fördel i att utöka omfånget så använder man den befintliga strukturen som bas och bygger ut det som behövs för att stödja verksamheten. Ett arbete med verksamhetsnyttig informationssäkerhet kan med fördel samordnas med andra kontinuitetsaktiviteter.
Exempel på frågeställningar som kan ingå och ett flöde för dessa:
- Vilken information behövs för att prioriterad verksamhet skall fungera
- Var finns informationen, exempelvis
- Papper/pärmar
- Arkivlösningar av olika slag
- Kunskap
- Kartor/fotografier/utvecklingsmaterial
- IT-system, interna eller outsourcade
- Verksamhetskrav för informationen
- Tillgänglighet, på vilket sätt behöver den vara tillgänglig
- Riktighet, finns det krav på att informationen skall vara korrekt över tid
- Sekretess, finns det information som av något skäl behöver göras åtkomlig enbart för vissa funktioner/roller/personer och på vilket sätt i så fall
- Spårbarhet av ovanstående
- Bedömning om vad som skall prioriteras när kraven inte harmonierar, exempelvis tillgänglighet kontra sekretess
- Behov av policy för informationssäkerhet
- Hur väva in området i den ordinarie organisationen
- Tydliggöra kravbilden för egen verksamhet samt interna och externa resurser, exempelvis
- Personal
- Lokaler
- Externa leverantörer
- IT-lösningar, inklusive acceptabla återställningstider och informationsförluster i samband med IT-avbrott
- Leverans från resurserna med rätt balans i valda rutiner/åtgärder/teknik och kostnader
Vanligtvis finns det i de flesta verksamheter en tyngdpunkt kring att informationen behöver vara tillgänglig och korrekt, i vissa fall även sekretesskyddad med en lämplig spårbarhet. Om dessa krav är nyanserade och tydliggjorda kan man även se var exempelvis reservrutiner kan säkerställa rätt tillgänglighet istället för dyr redundans i aktuella IT-system.
Arbetet baseras på våra fundament såsom lärande, enkelhet, måluppfyllnad och ekonomi. För att säkerställa hög integritet och trovärdighet i vårt arbete är vi oberoende och säljer vi inte någon typ av ramverk eller produkter. Våra kunder kan vara helt säkra på att våra råd enbart kommer av kundanpassad erfarenhet och expertis.
Kontakta oss gärna för en diskussion kring er verksamhets behov av informationssäkerhet och vilka frågeställningar som kan vara lämpliga i ert fall.