Konsten att skydda sin information
Konsten att skydda sin information
Informationssäkerhet är en viktig del av informationshantering. Kraven på informationssäkerhet skiljer sig mellan olika typer av verksamheter. Statliga myndigheter har det som lagkrav, kommuner är inte tvingade att bedriva informationssäkerhetsarbete, men bör göra det, privata verksamheter gör det på frivillig basis.
Kravet eller behovet av att skydda sin information avgör vilken nivå på informationssäkerhet organisationer bör ha.
Varför behöver vi ha informationssäkerhet?
Informations säkerhet kan ibland uppfattas som krångligt eller hämmande på kreativiteten, men den finns där för att informationen ska hanteras på ett korrekt sätt. För många är informationssäkerhet ett onödigt ont, men ett systematiskt informationssäkerhetsarbete är ett led i att identifiera vilken information som är viktigast för, oss och på så sätt kan vi identifiera vilken som är mest skyddsvärd. I en utopisk värld skulle all information vara öppen och tillgänglig för alla. Och då skulle vi inte heller ha behov av att skydda den, möjligen förhindra att den förstörs, men i övrigt skulle den vara fritt åtkomlig för alla. I vårt samhälle strävar vi mot öppenhet och transparens, som regleras i offentlighetsprincipen, men det finns även lagar och regler som begränsar åtkomsten till viss information såsom offentlighets- och sekretesslagen. I samma ögonblick som vi sätter upp hinder eller begränsningar kring den information vi har, så behöver vi införa olika skyddsmekanismer för att uppnå det tänkta skyddet. En del tror att systematiskt informationssäkerhetsarbete syftar till något slags strikt regelverk som ska införas och som alla ska följa blint och utan variation. Det är tvärtom.
Informationssäkerhet innebär ett strukturerat arbetssätt för att uppnå kraven på att skydda informationen, att verksamheten får information och verktyg till vad som ska skyddas och hur. Då behovet att skydda informationen är olika beroende på vem som är intressent. Konsten att skydda sin information behöver informationssäkerheten vara flexibel men ändå effektiv. Exempelvis så kan det på en myndighet finnas information som inte lämnas ut till allmänheten med hänvisning till sekretess. Men, beroende på vad informationen innehåller, kan det krävas att tillgången till informationen begränsas även inom myndigheten, att informationen enbart är tillgänglig för de som har behov av att komma åt den i tjänsten. Privata företag behöver inte följa lagar om offentlighet eller sekretess. Företaget vill främst skydda sin information mot sina konkurrenter. Det kan till exempel gälla framtidsplaner, uppfinningar, arbetsmetoder m.m. Information som om den inte kommer ut kan skapa ett försprång till företagets konkurrenter och därmed möjlighet för företaget att växa. Ökad digitalisering, ökad hotbild mot Sverige från främmande makt, brottslighet och enorma mängder information är några faktorer som driver på behovet av en god informationssäkerhet.
Vad är syftet med informationssäkerhet? Eftersom informationstillgångar skiljer sig, beroende på känslighet, krav på äkthet m.m., behöver vi hitta ett sätt att värdera dessa utifrån krav på eller behov av skydd. När vi pratar om krav menas i första hand lagar och regler, samt krav utifrån standarder. Men det finns så mycket annan information, bortsett den som styrs av lagar, regler och standarder, som av olika anledningar har behov av skydd.
Vem bestämmer vilket skydd sådan information ska ha?
Inom informationssäkerhet har vi ett begrepp som heter informationsägare. Det kan vara en enskild person eller en organisatorisk roll, exempelvis en chef. Det är informationsägaren som ska besluta hur informationen ska skyddas och hanteras. Förr i tiden låste man bara in det man inte ville att andra skulle se i ett skåp eller en låda. I dag är det inte lika enkelt. Förutom att mängden information i dag är ofantligt mycket större, är den inte lika fysisk som tidigare. Fortfarande finns det viss information i fysiskt format men det blir ovanligare. Utvecklingen och digitaliseringen har gjort att vi hanterar enorma mängder information utan att behöva ett enda papper. Det här ställer naturligtvis mycket större krav på en god informationssäkerhet.
Hur uppnår vi en god informationssäkerhet?
Egentligen bara genom sunt förnuft och en gnutta konspiratoriskt tänkande. Nästan alla gör dagligen normala riskbedömningar, som valet mellan att cykla på E4:an eller cykelvägen, trots att den senare är längre. De allra flesta vet vilken information som kan spridas och vad man bör behålla för sig själv eller sina närmaste. Det här fungerar för individer, men en verksamhet behöver ha samma riskhantering och styrning för alla i verksamheten. Det behöver utformas ett regelverk och en kultur, så att alla vet vad som gäller. Om det inte finns någon internt som besitter kunskap om detta, så är det lämpligt att hyra in någon som arbetar med dessa frågor dagligen. Eftersom felaktigt hanterande av information kan få stora konsekvenser för verksamheten, behöver en god informationssäkerhet införas innan något oönskat sker. En professionell informationssäkerhetsrådgivare kan med erfarenhet och kunskap ganska snabbt etablera en grund för säkerhetsarbetet. Många i verksamheten bygger sedan vidare på denna grund, mot målet: en god informationssäkerhet.
Hur ska du som informationsägare veta vad som är ett lämpligt skydd för en viss information? Sätta upp fingret i luften eller killgissa? Inom informationssäkerhet har det under lång tid utvecklats tankesätt och modeller för att kunna bedöma hur känslig en viss information är.
Vi kallar det för informationssäkerhetklassificering. Det är ett sätt att gradera behovet av skydd. Utifrån denna klassificering finns en mängd olika skydd som bedömts vara lämpliga. Det låter ju enkelt.
Men nu finns det en joker i leken, risk. Att sätta in alla skyddsåtgärder skulle vara opraktiskt och dyrt, men de skyddsåtgärder du väljer ska fortfarande vara effektiva. Genom att bedöma risk, kan vissa säkerhetsåtgärder uteslutas och andra finns kvar. För att vi ska kunna göra arbetet på ett systematiskt och likartat sätt, togs en internationell standard fram år 2013.
Den heter Ledningssystem för informationssäkerhet. Standarden består av två huvuddelar: ISO 27001 innehåller kraven och ISO 27002 innehåller föreslagna skyddsåtgärder (riktlinjer) som kan behövas. Serien består utöver detta av ett flertal standarder för specialområden. Eftersom standarden berör ett område med mycket snabb utveckling och förändring, behöver den revideras ibland. Den senaste revideringen är från år 2022.
Digitaliseringen har vuxit explosionsartat med nya tekniker, molntjänster av olika slag m.m.
Allt detta har lett till att behovet av informationssäkerhet är större nu än tidigare. Den reviderade versionen av ISO 27000 utgår mer i vad skyddet ska vara till för och mindre kring specifika tekniska detaljer. Exempelvis har ordet ”nätverk” ersatts med ”informationsöverföring”. På så sätt inbegriper standarden fler tekniska lösningar, än just den tekniska termen nätverk. Om du skickar information från din telefon, så tänker du knappast att du arbetar i ett nätverk, utan du ser det som att du gör en informationsöverföring. Ett annat begrepp som introducerats i den nya versionen är ”livscykelhantering”. Med det menas att det ska finnas en dokumenterad plan från det att behovet identifierats tills systemet avvecklas.
Från det att behovet finns för att införa exempelvis ett nytt IT-system, ska hela systemets livscykel börja dokumenteras med uppgifter om ansvariga, förvaltning, beräknad livslängd på komponenter och information, avställningsplan m.m. Just det här med att avveckla ett system är väldigt olika mellan ett privat företag och en myndighet.
Ett privat företag kastar bara ut sitt gamla system och installerar ett nytt. En myndighet måste kontrollera vad som ska bevaras och vad som kan gallras bort. Tyvärr är en vanlig åtgärd hos myndigheter att bara ”parkera” det gamla systemet och hoppas på det bästa rörande framtida åtkomst till informationen. D.v.s. att man bara rycker ut sladden ur väggen, utan att avistallera det. Det innebär en informationssäkerhetsrisk samtidigt som det utgör en skuld till dem som i framtiden behöver ta sig an avställningen, samtidigt som det finns en risk att man inte uppfyller arkivlagens krav på bevarande av allmän handling. I den reviderade versionen har antalet säkerhetsåtgärder minskat från 114 till 96. Inga åtgärder har tagits bort men några likartade har slagits ihop och därtill har det tillkommit 8 nya åtgärder.
I den nya versionen finns bättre förklaringar och tydligare exempel för att det bättre ska belysa om åtgärden är tillämpningsbar eller inte. Det har även införts något som kallas attribut, detta är en slags märkning av säkerhetsåtgärderna för sortering och underlättad återsökning.
Sammanfattningsvis kan man säga att den reviderade standarden har ett mer holistiskt perspektiv, och den försöker att inte låsa in sig i detaljerade tekniska lösningar.
Man bör samtidigt komma ihåg att standarden är internationell och har kompromissats fram. Det gör att vissa delar kan vara mindre förekommande i Sverige samt att vi i vissa delar har lagregleringar som inte finns i andra länder.
Det finns inget motsatsförhållande mellan informationssäkerhet och bevarande av information. Informationssäkerheten sätter upp regler för informationen. Det kan gälla behörigheter, var det får lagras och vilka system som är tillåtna.
Om informationen ska bevaras, behöver den kanske ”datummärkas” beträffande hur länge nuvarande klassning gäller. Det som är superkänsligt i dag, kanske är sökbart på webben om några år – eller inte. Arkiv, registratur och informationssäkerhet har många beröringspunkter gällande informationshantering. Med ett bra samarbete kan positiva effekter uppstå vilket gynnar alla.
Den här artikeln fokuserar på behovet av informationssäkerhet och att etablerade modeller och standarder finns på plats. Jag vill dock understryka att det krävs erfarenhet och kunskap för att kunna omsätta detta i verksamheten. Om det görs på fel sätt blir det ett regelverk utan verkan.
Skriven av: Roger
Broberg, ArkivIT
