Beror säkerhetsbrister i din IT-miljö p.g.a bristfällig eller obefintlig säkerhetsanalys? 

Dagens behov och konsumtion av IT har i takt med den snabba utvecklingen förändrats dramatiskt de senaste åren. I och med denna förändring så ställer det högre krav på ett kontinuerligt säkerhetsarbete i verksamheten vilket i slutändan ofta hamnar på IT-avdelningens ansvar.

Att ta reda på vad som är skyddsvärt i den egna verksamheten är grunden i allt säkerhetsskyddsarbete. Görs säkerhetsanalysen korrekt vet den upphandlande enheten vart den ska rikta sina säkerhetskyddsinsatser och hur de ska dimensioneras.

För att lyckas är det en god idé att utgå från en verksamhetsanalys och avgränsa den delen som är föremål för säkerhetsanalysen. Vad är skyddsvärt i verksamheten, vilka konsekvenser är acceptabla och vilka är inte det? Skapa spårbarhet till skäl för åtgärder genom att beskriva detta.

 Sårbarheter som identifierats behöver värderas och knytas till adekvata skyddsåtgärder. Endast systemtekniska åtgärder som brandväggar, spamfilter etc. är sällan ett komplett säkerhetsskydd utan behöver kompletteras med utbildning av personal och kontroll av säkerhetsskyddets efterlevnad.

För de som omfattas av upphandlingslagstiftningen kan det medföra extra stora problem med en bristfällig säkerhetsanalys då lagen medger begränsade möjligheter att ändra ett avtal.

Checklista för att komma igång med säkerhetsarbetet:

  • Genomför en grundlig säkerhetsanalys

  • Upprätta processer/rutiner och säkerställ spårbarhet

  • Utbilda personalen

  • Följ upp och säkerställ efterlevnad

Comment