Nulägesanalys

För att kunna bygga upp ett långsiktigt informationssäkerhetsarbete som stödjer verksamheten är det nödvändigt att både ha analyserat organisationens behov och nivån på den befintliga informationssäkerheten. En nulägesanalys ger grunden för att kunna skräddarsy den säkerhet organisationen behöver.

En nulägesanalys genomförs i form av dokumentgranskningar och intervjuer och levereras i rapportform med rekommendationer för det fortsatta arbetet.

Ledningssystem för informationssäkerhet (LIS)

Att införa ett ledningssystem för informationssäkerhet enligt ISO/IEC 27001 och 27002 innebär att ge ledningen för organisationen ett verktyg för att styra informationssäkerheten så att den motsvarar verksamhetens behov. Ledningssystemet bör därför i mesta möjliga mån integreras i organisationens övriga styrning samtidigt som det blir en styrning som täcker informationssäkerhetens samtliga delar.

Stödet för att införa ett ledningssystem innebär genomgång av förutsättningar för organisationen, stöd med en långsiktig planering samt stöd för att ta fram grundläggande dokument samt hjälp i förankringsarbetet.

Riskanalyser och systematisk riskhantering

Ett fungerande informationssäkerhetsarbete utgör ett svar på de risker som organisationen är utsatt för. Arbetet med riskanalyser och riskhantering är det som ger dynamiken och förmågan att dimensionera säkerhetsåtgärderna så att de blir effektiva. Att ha en systematisk riskhantering innebär att ha en struktur för att identifiera risker och sedan kunna reducera dem på ett strukturerat sätt.

I tjänsten ingår stöd för riskanalyser på olika nivåer (för hela organisationen, för en verksamhetsprocess eller för ett projekt till exempel). Stöd kan även ges för de årliga risk- och sårbarhetsanalyser som statliga myndigheter, kommuner och landsting ska genomföra enligt MSB:s föreskrifter. Framtagande av en grundläggande struktur för en systematisk riskhantering i organisationen.

Kontinuitetshantering

Alla organisationer är idag beroende av sin informationshantering och när en större störning i informationshanteringen inträffar påverkar det organisationens möjlighet att fortsätta att bedriva sin verksamhet. Det är därför nödvändigt att ha en planering för hur man ska hantera en störning så de mest prioriterade funktionerna i organisationen ändå kan upprätthållas.

I tjänsten ingår bland annat att kartlägga vilka av organisationens verksamheter och funktioner som är prioriterade av ledning samt identifiera vilka beroenden som finns till informationshanteringen. Därefter tas förslag fram på organisation och planering för att kunna möta störningar.

Händelseanalys

Trots all planering inträffar ändå incidenter i informationshanteringen som leder till större eller mindre störningar. När det händer är det viktigt att närmare analysera vad som orsakat incidenten och vilken effekt den fått i verksamheten. Därefter kan kunskapen som uppnåtts användas för att förbättra skyddet så att liknande incidenter inte händer igen.

I händelseanalysen ligger fokus på vad som incidenten lett till för konsekvenser för organisationen. Resultatet presenteras i rapport och i en presentation för ledningen eller annat forum.

Upphandlingsstöd

En allt större del av en organisations informationshantering sker genom outsourcing eller molntjänster. Liksom vid upphandling av traditionella it-system är informationssäkerheten en central fråga att beakta och som bör tas med redan initialt i upphandlingsprojektet. I många organisationer är upphandlingarna få och det kan därför upplevas som att man saknar den erfarenhet och kompetens som behövs för att kraven på informationssäkerhet skall komma med i upphandlingen på ett bra sätt.

Upphandlingsstödet kan vara mer eller mindre omfattande beroende på kundens önskemål, från att konsulten deltar i hela upphandlingsprojektet till att konsulten validerar framtagna säkerhetskrav från kundens projektgrupp.

Revision av informationssäkerhet

Kontroll av att säkerhetskrav efterlevs är en väsentlig komponent i ett systematiskt informationssäkerhetsarbete. Kontrollen ger stöd för fortsatt utveckling av det interna säkerhetsarbetet och är också ett viktigt underlag då organisationer ska ha en gemensam informationshantering, t.ex. i form av e-förvaltningstjänster.

Revisionen sker enligt ett fastställt revisionsprogram som framför allt är inriktad på organisationens förmåga till styrning av informationssäkerheten. Resultatet är den dokumenterad rapport i två delar; en mer utförlig för det interna förbättringsarbetet och en mer komprimerad som utan risk kan kommuniceras till externa parter.

Informationssäkerhetsrådgivare

För många organisationer kan det vara svårt att hålla en tillräcklig kompetens inom informationssäkerhetsområdet i den egna organisationen. Även för en organisation som har egen personal som arbetar med säkerhetsfrågor kan känna att omvärldsbevakningen blir otillräcklig och att det skulle vara bra att ha en extern expert att diskutera risker och åtgärder med.

Organisationen kan välja i vilken omfattning och vilket sätt säkerhetsrådgivaren ska ge stöd. Säkerhetsrådgivaren ersätter aldrig egen kompetens utan ska ses en diskussionspartner som finns som resurs för interna medarbetare.

Informationsklassning och skyddsnivåer

Informationsklassning ses som en av de centrala aktiviteterna i det systematiska informationssäkerhetsarbetet. Ändå är det mycket få organisationer som faktiskt genomför informationsklassningar och ännu färre som har utvecklat skyddsnivåer med åtgärder som svarar på klassningens krav. Orsaken till att så organisationer verkligen arbetar med informationsklassning är sannolikt att det är en komplex aktivitet där många delar av organisationen måste vara engagerade.

I tjänsten ingår att ta fram en modell för informationsklassning som passar kundens behov samt även stödja kunden i att ta fram rutiner för att införa informationsklassning på ett systematiskt sätt. Det finns även möjlighet att ta fram underlag för skyddsnivåer.

Utbildning

För att skapa en väl fungerande informationssäkerhet krävs kunniga och engagerade medarbetare på alla nivåer. Finns det växer en god säkerhetskultur fram där ledning och medarbetare inte bara följer beslutade regler utan också är förberedda på att hantera nya situationer som utgör en risk för informationshanteringen. Informationssäkerhetsområdet utvecklas snabbt och därför behövs ständig vidareutveckling av kompetensen hos alla medarbetare.

Kunden kan själv välja målgrupp och omfattning för utbildningen. Rekommenderat är en två-timmars genomgång med ledningsgruppen som ger en överblick över området. Genomgången innehåller också en presentation av risker, externa förväntningar och interna behov av säkerhet. Bredare medarbetarutbildning är ett annat bra steg för en organisation som vill gå vidare och förbättra sin säkerhet.

Stöd för informationssäkerhet i e-förvaltning

Myndigheter, kommuner och landsting inför allt fler lösningar för informationshantering för att utveckla sin e-förvaltning. Lösningar kan vara e-tjänster i den egna verksamheten men ofta handlar det om samverkan mellan olika organisationer. Oavsett om det är en tjänst som skapas inom en kommun eller en myndighet måste den kunna hantera information på ett säkert vilket förutsätter välgrundad kunskap om hur säkerheten bör utformas.  E-förvaltning förutsätter en säker informationshantering för att mötas av tillit och förtroende hos den enskilde.

Stöd ges för att analyser av behovet av informationssäkerhet i planerade och befintliga e-förvaltningstjänster. Särskild betoning läggs på  processkartläggning, ansvarsförhållanden och förutsättningar samverkan.

Stöd för informationssäkerhet i e-hälsa

Den svenska sjukvården har ambitionen att utveckla och förbättra det nationella e-hälsoområdet. För att utveckla den fulla potentialen inom e-hälsoområdet är dock informationssäkerhet är en avgörande fråga. De e-hälsolösningar som tas fram måste både ge patientsäkerhet och integritet för att de ska kunna fungera effektivt och skapa tillit. Det kräver också att både de nationella lösningarna och de enskilda vårdaktörerna kontinuerligt arbetar med organisatoriska och tekniska åtgärder i ett inbördes samspel.

Stöd ges för att analyser av behovet av informationssäkerhet i planerade och befintliga e-hälsotjänster. Målsättningen är att informationssäkerheten ska skapa möjligheter för god tillgänglighet, hög grad av integritet samt uppfylla de mycket höga krav på riktighet och spårbarhet som finns i vård och omsorg.

Stöd för att efterleva dataskyddsförordningen

Dataskyddsförordningen kommer att innebära betydande förändringar för organisationer som hanterar personuppgifter. Innan 2018 bör ett antal åtgärder vara vidtagna och framförallt måste organisationerna skapa en starkare kontroll över hur uppgifterna hanteras. Detta kräver både organisatoriska och tekniska åtgärder.

I tjänsten ingår ledningsinformation av vad förordningen innebär och stöd för kartläggning av organisationens processer och hur dessa använder personuppgifter. Därtill kommer en riskanalys och förslag på vilka organisatoriska åtgärder som bör vidtas. Förslag kan även tas fram för det obligatoriska inrapporteringssystemet för incidenter samt åtgärder för åtgärder i prioriterade it-system.

Moderator och föreläsare

Informationssäkerhet handlar i hög grad om kommunikation som leder till medvetenhet och engagemang. Att nå fram till andra än de redan frälsta är nödvändigt om informationssäkerhet ska bli en viktig fråga i den enskilda organisationen och i samhället. På ledningsgruppsmöten, på konferenser och seminarier kan en dialog skapas som lägger grunden för ett arbete med hög delaktighet som kan förbättra informationssäkerheten.

Med en mycket lång erfarenhet som föreläsare kan jag hjälpa er att moderera samtal och med att själv föreläsa så att informationssäkerhet både blir en begriplig fråga och så att deltagarna känner sig engagerade.