Informationssäkerhet blogg

Min blog om informationssäkerhet

Informationssäkerhet

fredag 15 juni 2018

Säker hantering av information

För att prata om en säker hantering av information måste vi först göra vissa påståenden. Om vi helt enkelt antar att alla håller med om följande uttalande så kan vi fortsätta.

Utgångsläge:
  • Information är all data i tal och skrift vare sig det handlar känslig information, talad information, skriven på papper eller i ett IT-system, lagrad i papperskorgen eller i ett datavalv.
  • Informationen är en värdefull resurs för alla. För varje person i privatlivet, i det dagliga arbetet och i den egna verksamheten.
  • Information är värdelös om man inte kan använda den eller om man inte kan lita på den.
  • Vi kan inte lita på information om vi vem som gjort något med den och inte vet vad som hänt med den.
Min sammanfattning
De uppgifter som utförs av företag, myndigheter, kommuner och landsting förutsätter att information inkommer, bearbetas, kommuniceras, lagras samt skyddas på ett sätt som garanterar innehåll, sammanhang och äkthet. -Inte en så dålig formulering tycker jag. Kan vi komma överens om det, i iallafall just nu? 

- Bra. Då går vi vidare.

Hur gör vi för att kunna hantera information säkert?

Trots att informationshanteringen är en så viktig fråga kan det vara svårt att åstadkomma rätt grad av styrning när det gäller hur informationen ska och får hanteras. Första steget för att kunna skydda och effektivt nyttja den viktiga resurs som informationen utgör är alltså att analysera vilken information som faktiskt hanteras och på vilket sätt det sker. 

- Det är väl ganska mycket vanligt bondförnuft att om vi ska kunna skydda något måste vi veta vad det är och var? Jag tycker därför att det logiska måste vara att först kartlägga all information som hanteras och var. 

Kartlägg all information

Vi måste börja med följande:
  1. Analysera vilken information som hanteras
  2. Analysera var och hur informationen hanteras
Det vill säga att kartlägga och analysera den information som organisationen är beroende av och skapa en tydlig bild av vilken information det är samt vilka system och tjänster som används för att hantera informationen.

En kartläggning av informationsflödet måste därför ta hänsyn inte bara till hur informationen kommuniceras och lagras inom den egna organisationen utan också till vilka externa aktörer och resurser som är involverade. Det kan ske i större eller mindre skala, från outsourcing till användande av kommersiella molntjänster för exempelvis lagring.

Ytterligare en aspekt att ta hänsyn till är de kanaler som mer eller mindre aktivt väljs för kommunikation, till exempel sociala medier eller sms. För att kunna få grepp om vilken information som organisationen skapar och utnyttjar är nödvändigt att identifiera och analysera  samtliga verksamhetsprocesser. 

Kartlägg all verksamhetsprocesserna

Processerna är den naturliga beskrivningen av en verksamhet. Därför är processbeskrivningar det enklaste sättet att åskådliggöra en organisations informationsflöden. Genom att beskriva verksamheten i processer blir det lättare att förstå hur helheten samverkar för att skapar värde för organisationen. - För att processbeskrivningar ska hålla över tiden beskrivs de som regel ur ett organisationsoberoende perspektiv. 

Processen visar alltså vad som ska göras oavsett vem som gör det. -Betrakta en process som en struktur av aktiviteter. 

Processerna förverkligar verksamhetsmålen genom att beskriva:
  • varför en verksamhet finns till (vilka behov som ska tillfredsställas)
  • vad som ska produceras (processernas output)
  • hur detta ska gå till (aktiviteter, resurser, information och deras relationer till varandra).
- Annorlunda uttryckt, processer är egentligen inget annat än ett gemensamt
arbetssätt. 

I kartläggningen ska det ingå en beskrivning av verksamhetsprocesserna, de informationsflöden som stödjer dessa samt av de resurser som används för att hantera informationen.

Eftersom  processkartläggning är en aktivitet som kan genomföras på olika sätt och med olika syften bör det understrykas att vi i denna kartläggning inte avser att ge stöd för verksamhetsutveckling eller organisationsförändringar. Avsikten är istället att göra en analys av befintliga processer och den information som används för att stödja processerna. 

En processkartläggning beskrivs lättast av tre lager:
  1. Verksamhetslagret, där man beskriver en organisations verksamhet och hur olika delar samverkar med varandra genom exempelvis målstrukturer, begreppsmodeller och processmodeller.
  2. Informationslagret, där man beskriver de informationsmängder som skapas och används i processen.
  3. Informationsbärarlagret, där man beskriver de informationsbärare/kanaler där processens information hanteras och lagras. Informationsbärarlagret kan bestå av andra bärare än just IT-system, till exempel papper eller telefoni.
- Informationslagret och informationsbärarlagret kan också beskriva externa tjänster som till exempel molntjänster för lagring. 

Processer kan beskrivas enbart med text, men en visuell beskrivning ökar tydligheten och överskådligheten. För att förstå en verksamhetsprocess krävs att varje delprocess har välavgränsade aktiviteter. Om dessa aktiviteter saknas är processerna bara begrepp som kan tolkas olika av olika betraktare.

En viktig faktor är också att detaljeringsnivån på aktiviteterna ska vara balanserad. Aktiviteter (eller aktivitetssteg om man så vill) ska beskrivas på en generell nivå och därefter kan vid behov fördjupningar göras.

- Behoven styr detaljeringsgraden och perspektiv. Har man inget behov av att illustrera aktiviteter, utan vill fokusera på informationsflödena, så gör man det. Vill man använda processmodellen som konkret stöd i hanteringen av information kan uppgifter om gallring, sekretess med mera läggas till.

Att genomföra en ändamålsenlig kartläggning

För att genomföra en ändamålsenlig kartläggning behövs både verksamhetskunskap och metodkunskap. Dessutom kan olika specialister behövas för att de frågeställningar som behandlas ska få sin rätta belysning. Det kan till exempel behövas juridisk bakgrund för att legala kravställningar ska kunna behandlas.

Ett annat exempel är medarbetare från it-funktionen kan behöva delta för förståelsen av hur informationslagret utnyttjar informationsbärarlagret. Sammantaget är det viktigt att se att kartläggningen av informationshanteringen i verksamhetens processer inte är en ensam skrivbordsövning utan att den mest lämpliga formen är en workshop där olika kompetenser kan samverka för bästa resultat.

För att en workshop ska fungera bra och kännas meningsfull för deltagarna krävs att den är väl förberedd. Det krävs också att deltagarna känner sig trygga i sina respektive uppgifter och är förberedda på vad de förväntas bidra med i workshopen. - Att klargöra "rollspelet" för deltagarna är därför en viktig del i förberedelserna.

Bemanning av workshop

Innan det är möjligt att börja bemanna och förbereda workshopen måste ett viktigt steg tas, nämligen att bestämma vilken process som ska kartläggas.

Det kan verka enkelt men leder ofta till frågor som bör vara lösta innan förberedelser kan inledas. Vanliga fällor är att organisation träder framför process eller att man inte sätter upp en tydlig avgränsning för den process som ska kartläggas.
Avgränsingar
Definition och avgränsning av processen ger underlaget för vilka aktörer som ska delta och vilka förberedelser som bör göras. Hur själva kartläggningen ska utformas beror på den aktuella verksamhetens organisation och regelverk.

Processkartläggningar bör ses som en rutin som genomförs regelbundet och det är därför bra om det finns dokumenterade regler för hur en kartläggning ska vara utformad. 

Roller

Med samma reservation som ovan, att allt beror på den egna organisationens
förutsättningar, kan ändå fyra rolltyper ses som lämpliga:

  1. Verksamhetsrepresentanter
  2. Specialister
  3. Analysledare
  4. Sekreterare
Verksamhetsrepresentanter
När det gäller informationssäkerhet används ofta begreppet informationsägare, d.v.s. den som har ansvar för en viss verksamhet har också ansvar för informationshanteringen. Under ideala former är informationsägaren delaktig i kartläggningen eftersom det ju är han eller hon som ytterst är den som bäst kan bedöma vilken funktion och betydelse en viss informationsmängd har för verksamheten. 

Detta är inte alltid möjligt att få till stånd och då är alternativet att välja verksamhetsrepresentanter som både har djupare kunskap om den aktuella processen och som har ett stort förtroende hos informationsägaren. 

Förtroendet är viktigt för att de bedömningar som görs ska ha fäste hos den som har ansvar för processen. Om den processen passerar organisatoriska gränser måste detta avspeglas i bemanningen av workshopen så att de olika organisatoriska enheternas intressen tillvaratas.

Specialister
Beroende på vilken process som kartläggs kan olika typer av specialister vara lämpliga deltagare.

Förutom arkivarier och informationssäkerhetsansvariga bör bland annat följande specialister övervägas som deltagare:
  • jurist
  • it-ansvarig
  • kvalitetsansvarig
  • personuppgiftsombud.
Analysledare
För att workshopen ska fungera måste den ledas av någon som utgör metodstöd, här kallad analysledare. Analysledaren kan vara arkivarie eller informationssäkerhetsansvarig men också en inhyrd expert. Det viktiga är att analysledaren besitter rätt kompetens och personliga egenskaper för att kunna leda kartläggningen på ett bra sätt. 

De personliga egenskaperna är viktiga eftersom analysledaren är ansvarig för att förbereda och genomföra workshopen samt för att säkerställa att det finns ett dokumenterat resultat av workshopen. För att klara detta bör man vara strukturerad och analytisk som person, kunna leda och entusiasmera en grupp samt kunna förstå verksamhetens behov. 

Kompetensmässigt bör analysledaren vara kunnig inom informationshantering och processkartläggning.

Sekreterare
Även om diskussionerna under en workshop i sig kan skapa samförstånd och nya insikter är det också viktigt att workshopen efterlämnar mer bestående resultat, som en ordentlig dokumentation. 

Dokumentationen kan innehålla visuella beskrivningar av den kartlagda processen men som tidigare påpekats används den bildmässiga beskrivningen av processen i första hand som stöd för en analys.

Huvudsaken är alltså de resonemang och slutsatser som framkommer under kartläggningen. Detta kräver en insats under själva workshopen som analysledaren knappast hinner med. Att ha en medarbetare som fungerar som sekreterare har en kvalitetshöjande effekt både på workshopen, eftersom analysledaren då kan koncentrera sig på sin uppgift, och sekreteraren på den rapport som bör vara resultatet från workshopen.

Förberedelser

Analysledaren bör ha ansvar även för förberedelsefasen för att få systematik i arbetet och för att de verksamhetsansvariga inte ska tyngas av uppgifter som de inte har rutin på att utföra. 

I korthet kan förberedelserna delas in i följande steg: 
  1. Överenskommelse om att kartläggning ska ske mellan informationsägare eller motsvarande funktion och den organisatoriska enhet som ansvarar för kartläggning av processer. I överenskommelsen ska ingå en tydlig avgränsning av vilken process som ska kartläggas. 
  2. Analysledaren fördjupar sig i processen och dess förutsättningar. Här ingår även förslag på tidsomfattning för workshop, vanligen 3-4 timmar. Därefter skickas förslag på tid och deltagare till informationsägare eller motsvarande funktion för godkännande. 
  3. Efter godkännande samlar analysledaren in det bakgrundsmaterial som kan vara relevant i sammanhanget. 
  4. Inbjudan skickas ut med tydlig beskrivning av syfte med och utformning av workshopen. 
  5. Analysledaren förbereder workshopen med rum, materiel och eventuell förtäring.
    - Dessutom bör naturligtvis analysledaren och den medarbetare som ska fungera som sekreterare tillsammans förbereda arbetsfördelningen och gå igenom de förväntningar man har på varandra.

Genomförande

Förslagsvis används notis-lappar och whiteboard för att beskriva aktiviteterna i processen för att uppnå stor flexibilitet.

Analysledaren ska ha ett positivt förhållningssätt men också kunna ställa penetrerande frågor för att motverka den eventuella hemmablindhet som kan finnas hos de deltagare som har verksamhetskunskap.

Vid workshopen är det viktigt att analysledaren är uppmärksam på styrande faktorer och tar ett ansvar för att analysera dessa närmare med stöd av specialistkompetens som till exempel en deltagande jurist. Likaså bör viktiga tekniska sammanhang klarläggas med hjälp av it-ansvariga.

Sekreteraren antecknar och sammanställer de gemensamma ställningstaganden
som görs under kartläggningen.

-Men det finns också vissa generella aspekter som bör regleras. Exempel på detta är hur kartläggningarna ska förvaltas och återanvändas. 

Kvalitetskontroll

När analysledaren och sekreteraren är klara med rapporten efter workshopen bör denna kvalitetskontrolleras med den grupp som deltog i workshopen och med informationsägaren. 

Ett bra tillvägagångssätt är att gruppen återsamlas för ett kortare möte med genomgång av rapporten där deltagarna får bedöma hur väl den överensstämmer med deras uppfattning. 

- Om informationsägaren inte deltar bör hon eller han få möjlighet att godkänna
kartläggningen på något annat sätt.

Och sedan?

I kommande inlägg beskrivs hur Processorienterad informationskartläggning är ett gemensamt intresse för arkiv och informationssäkerhet och hur kartläggningen kan användas i arkivhanteringen samt i arbetet med att förbättra informationssäkerheten. 

- En rekommendation är ju att kartläggningarna sker på ett rutinmässigt sätt och att processer gås igenom regelbundet. Därför behövs bland annat versions- och ändringshantering.


onsdag 13 juni 2018

SS-ISO/IEC 27000 serien och ledningssystem för informationssäkerhet


För säkerhets skull beskriver jag vad standarderna i SS-ISO/IEC 27000-serien är. 

De är framtagna av internationella expertgrupper inom ISO och IEC där Sverige medverkar genom SIS, Swedish Standards Institute. SIS deltar aktivt i det internationella arbetet i såväl ISO som CEN.

ISO är det globala standardiseringsorganet med ca 160 medlemmar, från lika många länder. CEN är den europeiska standardiseringsorganisationen med 30 medlemsnationer. Den svenska kompetensen inom området är organiserat i SIS Tekniska kommitté TK 318 Informationssäkerhet.

Genom att utgå från och implementera kraven och riktlinjerna i ISO 27001 får organisationen bl.a. följande fördelar:
  • Kunskap och medvetenhet om relevanta informationssäkerhetshot
  • En beprövad struktur för att systematiskt identifiera, hantera och kontinuerligt utvärdera informationssäkerhetsrisker
  • Möjlighet att certifiera organisationen mot ISO 27001 
ISO 27001 innehåller dessutom många av de komponenter som behövs för att uppfylla kraven i andra vanligt förekommande ISO standarder som t.ex. ISO 9001 och ISO 14001 och vice versa vilket ger mycket god möjlighet att bygga ett integrerat ledningssystem.


tisdag 12 juni 2018

Vad är informationssäkerhet för just dig?

Hur beskriver man något som informationssäkerhet på ett enkelt sätt?

Jag har försökt; på väldigt många sätt; beskriva informationssäkerhet förenklat så många ska kunna relatera och förstå vad det handlar om. Jag har dragit liknelser mot t.ex. en bil, vilket många har erfarenhet av. Sedan försökte jag med en kaffekopp, det här ännu fler erfarenhet av.

Så här det fortsatt men till slut kommer vi till läget där vi måste lära på en djupare nivå. Orsaken är till stor del att vi måste få ett gemensamt språk när vi pratar om informationssäkerhet för att kunna förstå varandra. Om en pratar kaffe medans en annan pratar bilar kommer vi inte förstå, inte helt i alla fall.

Det uppstår problem när vi kallar saker olika namn och i värsta fall har ett gemensamt namn för något men det är inte samma sak. Ta ordet information till exempel...

Vad är information? 

En tycker det är allt som skickas till och från varandra. En annan tycker det är sådant man lagrar på datorer eller det man ser på tv eller hör på radios nyheter osv. Men vad menar du med ordet information? Vad är det?

Jag tittade upp ordet på SAOL.

SAOL

tryckår: 2015  
in·­form·­at·ion substantiv ~en ~er • upp­lysningar, under­rättelser; plats där detta lämnas: ​sitta i informationen
1. (med­delad) mängd fakta vanligen av mer el. mindre exakt slag

2. inre struktur som reglerar viss process särsk. om cellernas molekyl­struktur som bestämmer arvs­anlagen

... och det slutade inte där.  Massor av förklaringar och exempel fanns att läsa (och vill du göra det så är länken).

Sedan kan man göra samma med ordet säkerhet. 

Vad är säkerhet?

SAOL

tryckår: 2015  
säker·­het substantiv ~en ~er till säker 1: ​an­svara för presidentens säkerhet; ​ställa säkerhet ställa pant el. borgentill säker 2​ – Alla sammansättn. med säkerhets- hör till säkerhet 1.
1. till­stånd som inte inne­bär fara
2. visshet
3. själv­förtroende
4. garanti för åter­betalning av lån i form av till­fälligt över­låtande e.d. av egendom


SAOL

tryckår: 2015  
in·­form·­at·ions|­säker·­hetsubstantiv ~en informationsäkerhet 1


Vad kan vi läsa ut av det?

Det är självklart att vi inte kan komma vidare med informationssäkerhet om vi inte ens kan komma överens om vad ordet betyder. 

Om du inte vet vad du menar med informationssäkerhet är det lätt att falla för frestelsen att googla upp det. 

Jag testar att googla bara ordet "Informationssäkerhet" och får upp följande (nu vet jag att det blir lite olika för alla och det är mitt specialområde men i alla fall. )

GOOGLE resultat


  1. Övervakning och konsulttjänster. Riskkontroll för er trygghet. Riskkontroll ökar vinst.

  2. Stabil driftspartner med fokus på informationssäkerhet. ISO 27001 certifierade

  3. If ger dig ersättning och dessutom experthjälp från IBM. Branschanpassad. För små och stora företag. Besked inom 24 timmar. Toppbetyg skadehantering. Skräddarsydda lösningar.

  4. Ladda ner vår ISO 27001 checklista och gör en egen bedömning redan idag.
En massa annonser om och från diverse företag,  men vad erbjuder de egentligen?

Om jag hoppar över annonserna ser vi resultat som..

Därför är informationssäkerhet viktigt. Information är medlet för att förmedla kunskap . Vi kan kommunicera information, vi kan lagra den, ...

Informationssäkerhet från www.msb.se

MSB har i uppgift att samordna arbetet med samhällets informationssäkerhet. Arbetet berör hela samhället – från organisationer, ...
Informationssäkerhet är de åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ...
Informationssäkerhet. Att information hanteras säkert är viktigt även för kommuner, landsting och regioner. I praktiken innebär det att ...
Du besökte den här sidan den 2018-04-25.

Informationssäkerhet från internt.slu.se

27 feb. 2018 · SLU:s LIS består av ramverk, processer och tillhörande resurser som gör att SLU kan uppnå bra informationssäkerhet.
Informationssäkerhet handlar om att rätt användare ska ha rätt information vid rätt tidpunkt. Det kan också vara viktigt att kunna gå bakåt ...

Google resultat (för mej ..)

För mig dyker SKL och MSB upp tidigt, jag använder mig mycket av deras metod stöd och rekommendationer.
Det jag vill visa här är att det är lätt att lyssna på dem som skriker högst och då hamnar vi i händerna på leverantörer som vill säga sina lösningar eller konsult tjänster. Men det är inte alls säkert att det är vad du behöver.

Men sätt ihop orden information och säkerhet så blir resultatet kanske mer förståeligt?.

- En mängd fakta (av mer el. mindre exakt slag) och en inre struktur som reglerar processer i ett till­stånd som inte inne­bär fara.

Inte helt rätt det heller. Inte helt lätt att förstå heller.

En gemensam definition

När vi ska hitta en definition tittar vi på standarder som finns och krav som ställs. 

En vanlig definition är att informationssäkerhet innebär att skydda sin information så:
  • att den alltid finns när vi behöver den (tillgänglighet)
  • att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)
  • att endast behöriga personer får ta del av den (konfidentialitet)
Det är egentligen inte en definition, mer en målbild, och alla är inte helt överens om ens den men den är bättre än annat jag hittat. 

Vissa (eller de flesta) har hört att man ska ha ett ledningssystem för informationssäkerhet (LIS) och ser det som lösningen. 

Ledningssystem för informationssäkerhet

Ledningssystem för informationssäkerhet, eller LIS, hänvisar till standardserien SS-ISO/IEC 27000 Ledningssystem för informationssäkerhet.  ISO 27000 serien är en internationell standard som ger ett beprövat ramverk för att få ett grepp om och hantera informationssäkerhet i organisationen. Standarden ger stöd för alla aspekter av informationssäkerhet på ett enkelt och konkret sätt.

Nej inte ens ett LIS är svaret på vad är informationssäkerhet. Men det ger en vägledning och erbjuder stöd genom standarder som visar lite om hur du bör göra och vilkas krav som kan ställas. Visst har man kommit en bit på väg med ett LIS men det förutsätter också en hel del, som till exempel att det är ett "levande system" och inte en pappers tiger. Det krävs att ledningen är engagerad och att alla anställda är väl förtrogna med regler och riktlinjer. Och följer dem?!
Men inget som sagt är LIS kommer inte ge dej informationssäkerhet. 
Informationssäkerhet handlar om något helt annat. 
För att gemensamt förstå och ha samma bild av informationssäkerhet och vad det är måste vi först få ett gemensamt språk som alla har accepterat och använder, sedan måste alla reda ut vad  informationssäkerhet innebär för just dem. 
Det krävs alltså att vi har en bra säkerhetskultur för att lyckas.
(Det är faktiskt inte så svårt som det låter men det är ganska mycket som ska göras och det kräver engagemang och att alla är med på tåget.) 

Copyright Fam. Lindström @tjohej.se. All Rights Reserved