Alla verksamheter behöver en informationssäkerhetschef
Att en organisation har en ekonomichef som sköter ekonomin och ser till att legala krav uppfylls och förser ledningen med ekonomiska beslutsunderlag tar vi ofta för givet. Men vem, i digitaliseringens framfart, säkerställer att legala och affärsmässiga säkerhetskrav hanteras när verksamhetens arbetssätt förändrats? Långt ifrån alla har en informationssäkerhetschef eller chief information security officer (CISO). Men med dagens hotbild skulle alla behöva en.
Sean Astviken och Emil Rimling är två av Omegapoints seniora säkerhetskonsulter som arbetar som informationssäkerhetschefer på uppdragsbasis. De tar ansvar för och driver verksamhetens informationssäkerhetsarbete hos ett flertal kunder.
- Vi synliggör risker och identifierar vad som behöver göras för att skydda verksamheten. För många kunder handlar det om att gå från att hantera risker ad hoc och att släcka bränder, till att arbeta strukturerat och riskbaserat med informationssäkerhet, säger Sean Astviken, säkerhetskonsult (till vänster i bild).
När det gäller informationssäkerhet har alla organisationer kommit olika långt, vilket gör att kunskapsnivån och behovet av insatser skiljer sig åt. De flesta verksamheter är vana att jobba med risker som finns i kärnverksamheten, till exempel arbetsmiljörisker. Men den digitala utvecklingen har gått så snabbt att riskarbetet kring hur digitala tillgångar och känsliga data ska skyddas, ofta inte hängt med.
- I verksamheter där anställda kan skada sig i arbetet finns en vana att arbeta systematiskt med säkerhet. Det finns tydliga processer och kunskap i organisationen om till exempel vilken skyddsutrustning som ska användas för att minska eventuella skador. Det behövs samma typ av riskarbete för informationssäkerhet, menar Emil Rimling, säkerhetskonsult (till höger i bild).
Det är lätt att missta sig och tro att informationssäkerhet inte är lika viktigt som det övriga säkerhetsarbetet, men brister i informationshanteringen kan leda till förlust av information som i sin tur kan resultera i både skadestånd, böter och skadat anseende på marknaden. Därför behövs en informationssäkerhetschef som har ansvar och förmåga att kartlägga affärsrisker, säkerställa att lagkrav och vedertagna ramverk efterlevs och sprida en medvetenhet i organisationen om hur risker kan undvikas i det dagliga arbetet. Beroende på bransch och storlek på bolaget, behöver det inte alltid vara en heltidstjänst, men det är en affärskritisk kompetens som alla organisationer behöver.
- Angrepp blir allt vanligare och ingen kan längre tänka att “det händer inte oss”. Alla kan drabbas – från stora myndigheter till fåmansbolag. De kriminella är både duktiga och sofistikerade när de genomföra sina attacker och letar alltid efter den svagaste länken. Alla i organisationen påverkar därmed säkerhetsförmågan och varje medarbetare måste ha medvetenhet och kunskap om hur de ska göra rätt för att minska riskerna, fortsätter Sean.
De digitala hoten kan vara både utmanande att förstå och osynliga tills dess att skadan är skedd.
- Alla verksamheter behöver identifiera vilka tillgångar som är viktigast och prioritera vad som ska skyddas. Det måste också finnas beredskap och kunskap om vad vi gör om vi förlorar information eller om den hamnar i orätta händer, så att konsekvenserna kan begränsas, avslutar Emil.