Informationssäkerhet har blivit en grundläggande del av verksamheters kontroll, ansvar och förmåga att fungera. Många organisationer har en uppfattning om vad informationssäkerhet är, men saknar ett strukturerat sätt att arbeta med det i praktiken.
Det leder ofta till att resurser läggs på fel saker, att viktiga risker förbises eller att säkerhetsåtgärder inte står i proportion till det som faktiskt ska skyddas.
För att få kontroll krävs mer än enskilda åtgärder. Verksamheten behöver identifiera vilka informationstillgångar som är mest kritiska, förstå konsekvenserna av incidenter och koppla rätt skyddsnivå till rätt information.
Det är här KRT-modellen blir viktig. Genom att bedöma krav på konfidentialitet, riktighet och tillgänglighet kan verksamheten förstå vilken information som är mest känslig, vilka risker som är mest allvarliga och vilka skyddsåtgärder som faktiskt behövs.
Informationssäkerhet handlar om att skydda information så att den är säker, korrekt och tillgänglig när den behövs. Det gäller både digital information, exempelvis databaser, filer och e-post, och fysisk information som dokument och papper.
Det betyder att informationssäkerhet inte bara handlar om IT-system eller tekniska skydd. Det handlar också om hur information hanteras i vardagen, vem som har tillgång till den, hur den lagras och hur verksamheten säkerställer att informationen går att använda när den behövs.
När informationssäkerheten brister kan konsekvenserna bli praktiska, ekonomiska och juridiska. Information kan försvinna, ändras, spridas till fel personer eller bli otillgänglig vid kritiska tillfällen. Därför påverkar informationssäkerhet både ekonomi, ansvar, förtroende och verksamhetens förmåga att fungera.
Konfidentialitet innebär att endast behöriga personer ska ha tillgång till informationen. Syftet är att förhindra att obehöriga kan läsa, använda eller sprida information.
Om obehöriga får tillgång till information kan det leda till att personuppgifter röjs, att affärskritisk information hamnar fel eller att verksamheten tappar kontroll över känsliga uppgifter.
När man bedömer konfidentialitet behöver man fråga sig hur stor skadan blir om informationen hamnar i orätta händer. För vissa typer av information kan konsekvensen vara begränsad, medan andra typer av information kan orsaka betydande skada om den sprids. Det kan exempelvis handla om personuppgifter, affärshemligheter eller interna strategier som påverkar verksamhetens förtroende och konkurrenskraft.
Exempel på skyddsåtgärder är:
Riktighet innebär att informationen ska vara korrekt och inte ändras av obehöriga, vare sig medvetet eller av misstag.
Det räcker inte att informationen finns. Verksamheten måste också kunna lita på att informationen är korrekt. Om information är felaktig, ofullständig eller manipulerad kan verksamheten fatta beslut på fel grund.
Riktighet delas ofta in i flera delar.
Det kan handla om att någon medvetet manipulerar information. Ett exempel är att någon ändrar mottagarens bankgironummer på en faktura eller höjer sin egen lön i ett HR-system.
Oavsiktliga fel kan vara lika skadliga som avsiktliga ändringar. Det kan exempelvis handla om att fel personnummer registreras, att en nolla missas i ett belopp eller att tekniska fel gör att information förändras mellan system.
För att kunna lita på information behöver verksamheten veta var informationen kommer ifrån och vem som gjort ändringar. Detta hanteras ofta genom loggning, versionshantering och versionshistorik.
Spårbarhet gör det möjligt att upptäcka fel, förstå orsaker och återställa korrekt information vid behov.
Tillgänglighet innebär att information och system ska finnas tillgängliga för behöriga användare när de behövs.
Om rätt personer inte kommer åt informationen vid rätt tidpunkt kan det skapa stora problem, även om informationen i sig är korrekt och skyddad. Det kan handla om driftstopp, attacker, tekniska fel eller bristande rutiner.
Exempel på åtgärder för att säkerställa tillgänglighet är:
Tillgänglighet handlar också om mer än att ett system är online. Informationen måste gå att använda inom den tid och på det sätt som verksamheten kräver. Om ett system är så långsamt att information inte kan användas i tid räknas det som ett tillgänglighetsproblem.
Det kan även uppstå situationer där säkerhetsåtgärderna själva blir ett hinder. Om system är för låsta eller om behörigheter inte fungerar i praktiken kan information bli otillgänglig för verksamheten.
KRT används för att bedöma vad som kan hända om information röjs, ändras eller inte finns tillgänglig. Modellen hjälper verksamheter att bedöma konsekvenser på ett strukturerat sätt och används ofta vid klassificering av informationstillgångar.
Klassificering är viktig eftersom alla informationstillgångar inte är lika känsliga eller kritiska. Utan klassificering riskerar verksamheter att lägga resurser på fel saker, underskatta kritiska risker eller sakna underlag för beslut.
Klassificering blir också grunden för riskbedömningar och framtida riskarbete.
Många verksamheter saknar ett strukturerat arbetssätt för informationssäkerhet. Det leder ofta till att:
Ett annat vanligt problem är att informationssäkerhet behandlas som en isolerad IT-fråga, trots att den påverkar ansvar, regelefterlevnad och verksamhetens förmåga att fungera.
Utan informationsklassning blir säkerhetsarbetet dessutom reaktivt och kostnadsineffektivt.
Informationssäkerhet handlar inte om en enskild åtgärd, utan om ett kontinuerligt arbete. För att få kontroll behöver verksamheten:
Det är först då informationssäkerhet går från teori till faktisk kontroll i verksamheten.
Många verksamheter tycker att det är svårt att skapa struktur och få arbetet att fungera långsiktigt i praktiken. Med vår helhetslösning blir det enklare att samla dokumentation, ansvar och processer på ett ställe.
Vi utvecklar dessutom löpande nya funktioner inom informationssäkerhet för att göra arbetet ännu smidigare framåt.
Kontakta oss gärna om ni vill se hur det kan fungera i praktiken för er verksamhet.