Många verksamheter tror att informationssäkerhet främst handlar om brandväggar, antivirus och tekniska säkerhetslösningar. Men i praktiken handlar många av de största riskerna om något betydligt mer grundläggande:
Vem har egentligen tillgång till informationen?
När behörigheter växer okontrollerat över tid, gamla användarkonton blir kvar eller känslig information delas med fler än nödvändigt, ökar risken för både informationsläckor, felaktiga beslut och allvarliga incidenter.
Samtidigt blir kraven på kontroll högre. GDPR, NIS2 och cybersäkerhetslagen ställer allt tydligare krav på att verksamheter ska kunna visa att rätt personer har rätt åtkomst – och att säkerhetsåtgärderna står i proportion till riskerna.
Problemet är att många verksamheter fortfarande saknar en tydlig struktur för hur tillgångar, behörigheter och risker faktiskt ska hanteras i praktiken.
Informationssäkerhet handlar om att skydda information så att den:
Det gäller både digital information som databaser, dokument och e-post – och fysisk information som avtal och pappersdokument.
Det betyder också att informationssäkerhet inte bara handlar om tekniska skydd. Det handlar lika mycket om hur information hanteras i vardagen, vem som har tillgång till den och hur verksamheten säkerställer att informationen används på rätt sätt.
Det är här tillgångsstyrning blir avgörande.
En av de viktigaste grundprinciperna inom informationssäkerhet är konfidentialitet.
Konfidentialitet innebär att endast behöriga personer ska ha tillgång till informationen. Syftet är att förhindra att information läses, används eller sprids av obehöriga.
Om fel person får tillgång till information kan konsekvenserna bli omfattande:
Därför är behörighetsstyrning en av de viktigaste skyddsåtgärderna inom informationssäkerhet.
I teorin ska endast rätt personer ha åtkomst till rätt information. I praktiken ser det ofta annorlunda ut.
Behörigheter byggs på över tid:
Samtidigt finns information ofta lagrad i flera olika system och miljöer samtidigt.
Ett kundregister kan exempelvis finnas i:
Ju fler platser informationen finns på, desto svårare blir det att kontrollera vem som faktiskt har åtkomst.
En viktig del av informationssäkerhetsarbetet handlar om att förstå vilka informationstillgångar som är mest kritiska.
En informationstillgång är all information som har värde för verksamheten och därför behöver skyddas. Det kan handla om:
Problemet är att många verksamheter försöker skydda all information på samma sätt.
Men alla informationstillgångar är inte lika känsliga eller lika kritiska. Därför behöver verksamheten klassificera informationen för att förstå vilket skydd som faktiskt krävs.
Utan klassificering riskerar verksamheten att:
Tillgångsstyrning behöver därför utgå från vilken information som är mest skyddsvärd.
Vi går djupare in på informationstillgångar och hur de kan hanteras i praktiken i vår guide, som du kan ladda ner här.
När informationssäkerheten brister påverkar det inte bara IT-miljön. Konsekvenserna kan bli både ekonomiska, juridiska och operativa.
Informationssäkerhet handlar om att minska risken för att information:
Om rätt personer inte kommer åt information vid rätt tidpunkt kan det skapa stora problem även om systemen tekniskt fungerar.
Samtidigt kan dåligt utformade säkerhetsåtgärder skapa nya hinder. Om ett system är så låst att informationen inte går att använda i praktiken blir informationen i realiteten otillgänglig för verksamheten.
Tillgångsstyrning handlar därför om balans:
För att förstå vilka åtkomster som innebär störst risk behöver verksamheten arbeta strukturerat med riskbedömningar.
En risk uppstår när:
Svaga lösenord, gamla användarkonton eller bristande åtkomstkontroller är exempel på sårbarheter som kan skapa allvarliga konsekvenser.
Därför lyfts flera säkerhetsåtgärder fram som viktiga inom informationssäkerhetsarbetet:
Syftet är att minska sannolikheten för att obehöriga får tillgång till information – och begränsa konsekvenserna om något ändå händer.
Med NIS2 och cybersäkerhetslagen blir informationssäkerhet allt mer en ledningsfråga.
Verksamheter behöver kunna visa att de:
Det räcker alltså inte längre att ha enstaka tekniska lösningar på plats. Verksamheten behöver kunna visa att informationssäkerhetsarbetet är genomtänkt, dokumenterat och kontinuerligt.
Även leverantörskedjan blir en viktig del av arbetet. Om externa leverantörer har åtkomst till verksamhetens information behöver verksamheten förstå:
Tillgångsstyrning är inte ett engångsprojekt.
Nya system, nya användare, nya leverantörer och förändrade arbetssätt gör att riskbilden förändras hela tiden. Därför behöver verksamheter arbeta kontinuerligt med:
Informationssäkerhet handlar i grunden om kontroll. För att få den kontrollen behöver verksamheten förstå vilken information som är mest skyddsvärd, vem som har tillgång till den och vilka risker som uppstår om åtkomsten hamnar fel.
Många verksamheter vet att tillgångsstyrning är viktigt, men saknar en tydlig struktur för hur arbetet ska göras i praktiken.
Det är också därför informationssäkerhet sällan kan lösas genom en enskild åtgärd. För att få verklig kontroll krävs ett kontinuerligt arbete där informationstillgångar identifieras, klassificeras och följs upp över tid.
Att hålla ihop arbetet över tid är ofta en utmaning för många verksamheter. Vår helhetslösning hjälper er att skapa bättre struktur, minska manuellt arbete och få bättre överblick i vardagen.
Samtidigt fortsätter vi att utveckla plattformen med fler funktioner inom informationssäkerhet. Nu lanserar vi stöd för informationstillgångar, vilket ger verksamheter bättre överblick över vilken information som är mest kritisk, hur den är kopplad till olika system och var dokumentation och bedömningar finns samlade.
Kontakta oss gärna om du vill veta mer om funktionerna eller hur de kan användas i er verksamhet.