Systematiskt säkerhetsarbete är billigare i längden

När vi åker bil väntar vi inte tills tanken är tom eller luften är slut i däcken. Vi planerar i förväg vart vi ska åka, när vi ska tanka och ser till att däcken har rätt tryck innan vi far iväg. Allt för att vi ska komma fram i tid och slipper obehagliga (och dyra) överraskningar. Det samma gäller för vårt säkerhetsarbete. Låt oss reda ut begreppen!

Vad är ett ledningssystem?

Du kanske har hört termen ”LIS” eller ”Ledningssystem för Informationssäkerhet”. Termen är inte helt självklar men innebär konkret ett sätt att bedriva sitt säkerhetsarbete genom att försöka förutspå risker relaterade till konfidentialitet, riktighet och tillgänglighet till ert företagsdata. Därefter tas åtgärder fram för att minska riskerna enligt förutbestämda arbetsmetoder och arbetsrutiner etableras för att följa upp detta över tid. Detta är kärnan i ett ”Systematiskt informationssäkerhetsarbete”, som ofta är ett begrepp som är lättare att kommunicera.

Nya EU-direktiv som NIS 2 (för samhällsviktiga organisationer) och DORA (för bank- och finansbranschen) ställer krav på att införa ett proaktivt och strukturerat arbetssätt. Ett sätt att uppfylla dessa krav är att följa metodiken i befintliga ramverk för informationssäkerhet som exempelvis standarden ISO 27001 eller NIST SP 800-53.

Men blir det billigare då? I längden, definitivt. Ett systematiskt arbetssätt utgår ifrån att förstå vad som ska skyddas till vilken nivå och vilka åtgärder som ska vidtas för att åstadkomma det skyddet. Åtgärderna kan vara både proaktiva och reaktiva, men görs de inte med systematik är det nästan ofrånkomligt att suboptimering sker, viktiga frågor faller mellan stolarna och dessutom att de åtgärder som vidtas om ”det värsta” händer är ineffektiva och gör mer skada än nytta.

Verksamhetens ansvar

Det är viktigt att förstå att informationssäkerhet inte enbart handlar om IT-system och digitala tillgångar. Det handlar också om dokument i pappersform eller i pärmar och vilka rutiner vi har för att hantera dessa. Det handlar också om hur vi agerar till vardags, vad vi säger var och till vem.

Medan IT-avdelningen ser till att alla har tillgång till rätt information så är det verksamheten som är beroende av den. Utan systemstöd, dokument, databaser, ritningar eller avtal så fungerar inte organisationen och därför är det verksamhetens ansvar att analysera risker och ställa krav på åtgärder som tryggar den fortsatta produktionen. Det blir då tydligt vilken nivå av skyddsåtgärder man behöver investera i. Att investera i cybersäkerhetsåtgärder är kostsamt och ingen har råd att skydda allt. Därför gäller det att välja klokt och med en tydlig systematik.

Säkerhet är affärsutveckling

Alla företag omfattas på olika sätt av regler, ramverk samt krav från kunder och sin omvärld och är följaktligen skyldiga att kunna påvisa att man uppfyller dessa. Då nya regler ständigt tillkommer är arbetet med ”efterlevnad” en allt tyngre börda och därför behövs arbetsrutiner som bidrar till ett ”ständig efterlevnads”-tänk. Det kan också vara nyttigt att fundera över behoven av systemstöd för att stödja efterlevnadsarbetet, eftersom det ofta är flera olika intressentgrupper inom organisationen som behöver bidra från olika perspektiv.

Genom att etablera arbetsrutiner där alla aktivt bidrar till ”bevis” och resultatrapporter hela tiden finns uppdaterade och tillgängliga blir eventuella revisioner mycket enklare och inte lika drastiska. Det skapar ett lugn och en trygghet i organisationen och gör att man kan jobba ännu mer effektivt och proaktivt. Det ger också en bättre förståelse för den egna säkerhetsprofilen – även om extern rapportering kommer att skilja sig från intern. En mer effektiv organisation som väljer att satsa sina resurser på rätt saker sparar pengar och DET är affärsutveckling om något.

Att vara säker kan också vara en konkurrensfördel. Med hänsyn till inte minst det ökande förändringstrycket drivet av lagstiftning är det många organisationer som idag sätter säkerhetsarbetet under lupp, inklusive krav på leverantörer och underleverantörer.

Självklart är det en process att ta sig till ett systematiskt informationssäkerhetsarbete, men rent krasst så är halva resan att börja någonstans med några väl valda initiativ. Affärsutveckling är inte ett engångsprojekt, det är en ständigt pågående process där ni hela tiden utvecklas och blir bättre. Och säkrare!

Kontakta oss

Är ni redo att stärka säkerheten och samtidigt utveckla affären? Ett systematiskt säkerhetsarbete är nyckeln till att undvika obehagliga överraskningar och skapa långsiktig trygghet. Med rätt fokus och arbetsrutiner kan ni både minska kostnader och uppfylla nya EU-krav som NIS 2 och DORA. Ta kontakt med Anders eller Karl för att komma igång!