IT- eller Informationssäkerhet? (GRC)

I mitt arbete inom informationssäkerhet så är det inte sällan att mycket tid går åt på att förklara begrepp. En av de vanligare frågor som behöver besvaras är skillnaden mellan IT-säkerhet och informationssäkerhet. En annan fråga som ofta dyker upp är varför dataskyddsförordningen ligger högt på min agenda, är inte detta en fråga för jurister?

I denna artikel tänker jag använda mig av ytterligare ett begrepp för att binda samman de dessa olika områden och förhoppningsvis även kasta lite ljus över en del av de utmaningar som många organisationer idag lever med. Detta begrepp är GRC som står för engelskans ”Governance”, ”Risk”, ”Compliance”.

Informationssäkerhet handlar i stort om att identifiera och säkerställa rätt nivå av skydd för organisationens informationstillgångar, dvs både för informationen själv och de tillgångar som bär informationen såsom mjukvara, hårdvara, personal, kontorslokaler etc. Detta arbete innebär bland annat att klassificera tillgångarna utifrån organisationens interna och externa krav, krav såsom lagar, bestämmelser och organisationens egna intresse. Denna klassificering görs normalt utifrån tre olika skyddsvärden – Tillgänglighet, Sekretess och Riktighet.

Arbetet med att säkerställa rätt nivå av skydd kräver ett kontinuerligt och systematiskt arbete med att identifiera, analysera och förvalta risker som påverkar, eller kan påverka, efterlevnaden av dessa krav. Risker som innebär en sannolikhet för påverkan utifrån identifierade skyddsvärden hanteras genom något av följande alternativ:

· Införa riskminskande åtgärder genom att introducera nya, ta bort eller förändra befintliga åtgärder och styrmedel.

· Att acceptera risken utan vidare åtgärder

· Undvika risken

· Dela risken, exempelvis genom en försäkring eller ett avtal.

En viktig aspekt när det kommer till hantering av krav och risker är att förvalta dessa kontinuerligt. En risk som kanske accepteras idag då konsekvenserna anses vara inom ramen för organisationens riskaptit kan imorgon innebära en högre påverkan allteftersom omvärlden förändras. Effektiviteten på åtgärder som hanterar organisationens krav och risker måste därför övervakas och mätas över tid. Samtidigt är det ett givet intresse för organisationen att kontrollera sina kostnader. Att spendera resurser på att underhålla åtgärder som inte längre fyller en funktion, exempelvis genom förändrade krav eller förändrade förutsättningar, är en ren förlust.

Genom ovan stycken har vi väldigt kortfattat tittat på de delar som täcks inom begreppet GRC från ett informationssäkerhetsperspektiv, alltså styrning, kravefterlevnad och riskförvaltning. Så hur var det nu med de inledande frågeställningarna?

När vi pratar om IT-säkerhet så pratar vi normalt om de åtgärder som, från ett informationstekniskt perspektiv, införs för att säkerställa de skyddsvärden som tilldelats våra informationstillgångar. IT-säkerhet är alltså ett väldigt brett område och idag så omfattande att vi har ett eget ord för området. Det kan röra sig om att hantera och införa riskminskande åtgärder men också aktiviteter för att övervaka risker och redan införda åtgärder. På samma sätt påverkar informationssäkerhetsarbetet även arbetet inom andra delar av organisationen. För att nämna ett av många exempel så är det inte en fråga inom IT-säkerhet att följa upp på de krav som städfirman måste efterleva när de hanterar den information som finns tillgänglig när de utför sitt uppdrag. Det är alltså viktigt att se informationssäkerhetsarbetet som en integrerad del i styrningen av hela organisationen.

Dataskyddsförordningen är ett bra exempel på ett krav som måste följa. Lagens utformning är tydlig på sådant sätt att juridiska åtgärder omöjligt kan anses vara tillräckligt. För att säkerställa efterlevnaden så krävs att hanteringen av personuppgifter identifieras, att informationen och berörda tillgångar klassificeras och att risker relaterat till hanteringen förvaltas för skyddsvärdena tillgänglighet, sekretess och riktighet. För att använda mig av en bra liknelse från en jurist; För att spela fotboll krävs det att man förstår reglerna men detta är inte tillräckligt om man också vill göra mål. Mitt egna tillägg till denna liknelse är att hela laget måste vara med för att vinna.

VigorIT AB är återförsäljare av Eramba, ett mycket prisvärt system för GRC och informationssäkerhet. Vid införandet av ledningssystem för informationssäkerhet och relaterad krav- och riskförvaltning så är det en fördel att använda något som tillför mer värde än Excel. Fördelarna med ett GRC-system är många, inte minst när det gäller att säkerställa revision och spårbarhet. Tyvärr kostar ett GRC-system som regel väldigt mycket och tillför gärna utmaningar för organisationer som inte redan har en utvecklad GRC-funktion. Som leverantör så är vårt mål att hjälpa er att arbeta med er egna organisations mognad framför utveckling eller anpassning av ett stort IT-system, här tillför Eramba en viktig del i vårt erbjudande.


Senaste inlägg

Visa alla

Eramba

VigorIT är nu auktoriserad återförsäljare av det prisvärda GRC-systemet Eramba, läs mer om hur Eramba kan hjälpa er organisation under våra Produkter.

ISACA CISM

Från och med idag erbjuder VigorIT även certifierad CISM kompetens genom ISACA. Läs mer här

VigorIT ® 2019
Orgnr: 556989-0899

E-post: info@vigorit.com

Tel: 042-290629