Choose language

Varför tillgångsstyrning är en av de största säkerhetsriskerna

Många verksamheter tror att informationssäkerhet främst handlar om brandväggar, antivirus och tekniska säkerhetslösningar. Men i praktiken handlar många av de största riskerna om något betydligt mer grundläggande:

Vem har egentligen tillgång till informationen?

När behörigheter växer okontrollerat över tid, gamla användarkonton blir kvar eller känslig information delas med fler än nödvändigt, ökar risken för både informationsläckor, felaktiga beslut och allvarliga incidenter.

Samtidigt blir kraven på kontroll högre. GDPR, NIS2 och cybersäkerhetslagen ställer allt tydligare krav på att verksamheter ska kunna visa att rätt personer har rätt åtkomst – och att säkerhetsåtgärderna står i proportion till riskerna.

Problemet är att många verksamheter fortfarande saknar en tydlig struktur för hur tillgångar, behörigheter och risker faktiskt ska hanteras i praktiken.

Informationssäkerhet handlar inte bara om IT

Informationssäkerhet handlar om att skydda information så att den:

  • är korrekt
  • skyddas från obehöriga
  • finns tillgänglig när den behövs

Det gäller både digital information som databaser, dokument och e-post – och fysisk information som avtal och pappersdokument.

Det betyder också att informationssäkerhet inte bara handlar om tekniska skydd. Det handlar lika mycket om hur information hanteras i vardagen, vem som har tillgång till den och hur verksamheten säkerställer att informationen används på rätt sätt.

Det är här tillgångsstyrning blir avgörande.

Konfidentialitet – grunden för tillgångsstyrning

En av de viktigaste grundprinciperna inom informationssäkerhet är konfidentialitet.

Konfidentialitet innebär att endast behöriga personer ska ha tillgång till informationen. Syftet är att förhindra att information läses, används eller sprids av obehöriga.

Om fel person får tillgång till information kan konsekvenserna bli omfattande:

  • personuppgifter kan läcka
  • affärskritisk information kan hamna fel
  • verksamheten kan förlora kontroll över känsliga uppgifter
  • förtroendet kan skadas

Därför är behörighetsstyrning en av de viktigaste skyddsåtgärderna inom informationssäkerhet.

Många verksamheter har sämre kontroll än de tror

I teorin ska endast rätt personer ha åtkomst till rätt information. I praktiken ser det ofta annorlunda ut.

Behörigheter byggs på över tid:

  • medarbetare byter roller
  • nya system införs
  • externa leverantörer får åtkomst
  • gamla användarkonton blir kvar
  • information sprids mellan olika plattformar

Samtidigt finns information ofta lagrad i flera olika system och miljöer samtidigt.

Ett kundregister kan exempelvis finnas i:

  • CRM-system
  • affärssystem
  • e-postverktyg
  • databaser
  • exporterade filer
  • molntjänster

Ju fler platser informationen finns på, desto svårare blir det att kontrollera vem som faktiskt har åtkomst.

Alla informationstillgångar kräver inte samma skydd

En viktig del av informationssäkerhetsarbetet handlar om att förstå vilka informationstillgångar som är mest kritiska.

En informationstillgång är all information som har värde för verksamheten och därför behöver skyddas. Det kan handla om:

  • kundregister
  • personuppgifter
  • databaser
  • dokument
  • inloggningsuppgifter
  • avtal
  • kunskap hos anställda

Problemet är att många verksamheter försöker skydda all information på samma sätt.

Men alla informationstillgångar är inte lika känsliga eller lika kritiska. Därför behöver verksamheten klassificera informationen för att förstå vilket skydd som faktiskt krävs.

Utan klassificering riskerar verksamheten att:

  • lägga resurser på fel saker
  • underskatta kritiska risker
  • sakna underlag för beslut
  • inte uppfylla lagkrav

Tillgångsstyrning behöver därför utgå från vilken information som är mest skyddsvärd.

Vi går djupare in på informationstillgångar och hur de kan hanteras i praktiken i vår guide, som du kan ladda ner här.

Bristande tillgångsstyrning påverkar hela verksamheten

När informationssäkerheten brister påverkar det inte bara IT-miljön. Konsekvenserna kan bli både ekonomiska, juridiska och operativa.

Informationssäkerhet handlar om att minska risken för att information:

  • försvinner
  • ändras
  • sprids till fel personer
  • blir otillgänglig när den behövs

Om rätt personer inte kommer åt information vid rätt tidpunkt kan det skapa stora problem även om systemen tekniskt fungerar.

Samtidigt kan dåligt utformade säkerhetsåtgärder skapa nya hinder. Om ett system är så låst att informationen inte går att använda i praktiken blir informationen i realiteten otillgänglig för verksamheten.

Tillgångsstyrning handlar därför om balans:

  • tillräckligt stark säkerhet
  • utan att hindra verksamheten

Tillgångsstyrning är också en riskfråga

För att förstå vilka åtkomster som innebär störst risk behöver verksamheten arbeta strukturerat med riskbedömningar.

En risk uppstår när:

  • ett hot finns
  • och det samtidigt finns en sårbarhet som kan utnyttjas

Svaga lösenord, gamla användarkonton eller bristande åtkomstkontroller är exempel på sårbarheter som kan skapa allvarliga konsekvenser.

Därför lyfts flera säkerhetsåtgärder fram som viktiga inom informationssäkerhetsarbetet:

  • flerfaktorsautentisering (MFA)
  • loggning och logguppföljning
  • återkommande kontroller av åtkomst
  • nätverkssegmentering

Syftet är att minska sannolikheten för att obehöriga får tillgång till information – och begränsa konsekvenserna om något ändå händer.

NIS2 och cybersäkerhetslagen ställer högre krav

Med NIS2 och cybersäkerhetslagen blir informationssäkerhet allt mer en ledningsfråga.

Verksamheter behöver kunna visa att de:

  • identifierar sina risker
  • arbetar systematiskt med säkerhetsåtgärder
  • förstår konsekvenserna av incidenter
  • väljer proportionerliga skyddsåtgärder

Det räcker alltså inte längre att ha enstaka tekniska lösningar på plats. Verksamheten behöver kunna visa att informationssäkerhetsarbetet är genomtänkt, dokumenterat och kontinuerligt.

Även leverantörskedjan blir en viktig del av arbetet. Om externa leverantörer har åtkomst till verksamhetens information behöver verksamheten förstå:

  • vilka åtkomster som finns
  • hur säkerheten följs upp
  • vilka risker som finns i leverantörskedjan

Informationssäkerhet kräver kontinuerlig kontroll

Tillgångsstyrning är inte ett engångsprojekt.

Nya system, nya användare, nya leverantörer och förändrade arbetssätt gör att riskbilden förändras hela tiden. Därför behöver verksamheter arbeta kontinuerligt med:

  • klassificering av information
  • riskbedömningar
  • behörighetskontroller
  • ansvarsfördelning
  • uppföljning

Informationssäkerhet handlar i grunden om kontroll. För att få den kontrollen behöver verksamheten förstå vilken information som är mest skyddsvärd, vem som har tillgång till den och vilka risker som uppstår om åtkomsten hamnar fel.

Från komplexitet till kontroll

Många verksamheter vet att tillgångsstyrning är viktigt, men saknar en tydlig struktur för hur arbetet ska göras i praktiken.

Det är också därför informationssäkerhet sällan kan lösas genom en enskild åtgärd. För att få verklig kontroll krävs ett kontinuerligt arbete där informationstillgångar identifieras, klassificeras och följs upp över tid.

Att hålla ihop arbetet över tid är ofta en utmaning för många verksamheter. Vår helhetslösning hjälper er att skapa bättre struktur, minska manuellt arbete och få bättre överblick i vardagen.

Samtidigt fortsätter vi att utveckla plattformen med fler funktioner inom informationssäkerhet. Nu lanserar vi stöd för informationstillgångar, vilket ger verksamheter bättre överblick över vilken information som är mest kritisk, hur den är kopplad till olika system och var dokumentation och bedömningar finns samlade.

Kontakta oss gärna om du vill veta mer om funktionerna eller hur de kan användas i er verksamhet.