I dag är information kärnan i de flesta organisationers arbete. Information som kan vara känslig och orsaka stor skada om den hamnar i orätta händer. Därför är det mycket viktigt att arbeta med informationssäkerhetsklassificering för att kunna riskhantera informationen korrekt. Vi ska gå igenom vad som menas med informationssäkerhetsklassificering och hur ni kan arbeta i praktiken med klassning av er information. På så sätt kommer ni att kunna skydda den på rätt sätt.
Vad menas med informationshantering och informationssäkerhetsklassificering?
I dag jobbar många verksamheter datadrivet. Det vill säga att det är data som berättar för oss vad vi ska göra på jobbet. Om vi tar tjänstesektorn som exempel så börjar nästan alla arbetsuppgifter med att ta in information. Till exempel genom att läsa ett meddelande eller en rapport. Därefter skapas någonting, exempelvis ett svar på meddelandet eller ett beslutsunderlag utifrån rapporten. Det här resulterar i ytterligare information, som kanske någon annan får ta del av och börjar arbeta vidare med. Informationshantering handlar om att få fram rätt information till rätt person, i rätt syfte, så att den personen kan göra rätt saker med informationen.
Informationssäkerhetsklassificering handlar i sin tur om villkoren för vem som får se och hantera vilken information, och varför. Innehållet i den där rapporten, ihop med det beslutsunderlag den resulterade i, kanske bara bör läsas av de som arbetar med just den processen inom organisationen. Information kan vara känslig och behöva skyddas från andra som inte har behörighet att se den. Till exempel om den innehåller något som kan skada individer eller själva verksamheten.
Därför är informationssäkerhetsklassificering så kritisk för organisationer i dag
Som vi konstaterat så är information avgörande för dagens arbete. Både människor och teknik behöver data för att kunna utföra uppgifter. Sådan data kan klassas efter olika principer och lagar. Tar vi den offentliga sektorn så styrs den informationen dels av offentlighetsprincipen där alla har rätt att få ta del av allmänna handlingar som inte är sekretessbelagda. Samtidigt hanterar den offentliga sektorn också väldigt känsliga uppgifter som till exempel patientjournaler och brottsregister. I sådana fall kan individer orsakas, och även komma till stor skada om uppgifterna hamnar i fel händer.
Informationen hos företag har i regel inte samma påverkan på individen, men kan orsaka annan skada om den hamnar i orätta händer. Till exempel om företagets strategier och annan affärskänslig data läcker ut till konkurrenter. Affärsdata i fel händer kan även drabba privatpersoner om det rör sig om företag med omfattande persondata. Det gäller till exempel telekom- eller sociala medier-företag.
Struktur och dokumentation lägger grunden för informationssäkerhetsklassificering
Den första säkerhetsrisken med information handlar om ifall den är strukturerad eller inte. Ostrukturerad information, till exempel ett kontonummer i ett löst dokument eller ett personnummer i ett mejl, kan vara svår att hålla koll på, och det medför risker. Även om känslig ostrukturerad information hanteras fel på grund av okunskap eller misstag så kan konsekvenserna bli lika illa som om någon kriminell stal informationen.
För att strukturera den ostrukturerade informationen stoppas den in i en databas. Då ligger inte data som konto- eller personnummer fritt utan läggs in i ett särskilt fält som enbart är avsett för den informationen. Databasen har då också högre säkerhet eftersom det går att sätta behörighet så att bara vissa personer kan se vissa fält. Det går också att hantera informationen mer effektivt när den är strukturerad.
Att säkerhetsklassificera data handlar om struktur
Det är av största vikt att dokumentera informationen och hur den är strukturerad. Utan koll på strukturen i gemensamma filer och hur de lagras, ordnas och delas, blir det svårt att klassa och skydda informationen. Att dokumentera det här noggrant ökar inte bara informationssäkerheten, det gör det också lättare att arbeta effektivare. Att se hur information hänger ihop gör det möjligt at se mönster och förstå sammanhang. Till exempel genom att se vilka som vinner på att ha tillgång till samma information.
Verksamhetsutveckling bygger på att förstå vad som fungerar och inte, var det går att förändra och att automatisera för att spara tid och frigöra resurser. Att strukturera och dokumentera information gör det lättare att skaffa nya förmågor och samtidigt att förbättra verksamheten.
ISO 27001 gör det lättare att hantera och skydda information
Idag är information något av en valuta eftersom den har ett så stort värde. En valuta som pengar skyddar vi i exempelvis bankvalv. De valven följer en standard för att kunna bli så säkra som möjligt. På samma sätt finns det även en säkerhetsstandard för att skydda information. ISO 27000-serien har kommit till för att skydda information, inklusive cybersäkerhet, eftersom mycket av dagens brottlighet handlar om data. Det här handlar till exempel om belastningsattacker, ransomware och att stjäla känsliga data som kan säljas vidare.
Standarderna i ISO 27001 är framtagna av ledande globala experter och säger att om en organisation jobbar på det här sättet blir det svårt för kriminella att komma åt informationen. Mycket i arbetet handlar om att ha rutiner och dokumentation kring hur organisationen kan förebygga och undvika risker i sin datahantering. Precis som ett bankvalv bättre kan skydda pengarna i det om det är byggt efter en beprövad standard, kan standardiserade datasäkerhetsrutiner skydda informationen i organisationen mer effektivt.
Så kan ni arbeta med informationssäkerhetsklassificering i praktiken
Om information är värd att skydda eller inte kan bero på många faktorer. Till exempel på om den sätts ihop med annan information. Om vi som exempel tar information som namn och adress så är det i dag öppen information. Det är också enkelt att ta del av information om läkemedel, exempelvis i FASS. Men om vi sätter ihop informationen om en viss person och ett visst läkemedel, som i en patientjournal, så blir den plötsligt känslig.
Det praktiska arbetet med informationssäkerhetsklassificering börjar därför med att först ta reda på vad det är för slags data ni tittar på och bestämma om den har ett skyddsvärde. Därefter behöver ni utvärdera om informationen kan bli känslig om den kombineras. Även mängden data påverkar hur känslig den är. Om en patientjournal är skyddsvärd så är en lista med alla patientjournaler i Stockholms län ännu viktigare att skydda.
Som företag behöver ni själv bestämma vilken information som är skyddsvärd eller inte, till exempel patent, strategiska planer med mera. En vanlig lösning är att klassificera företagets information i fyra nivåer:
1.Öppen information. Till exempel er hemsida.
2.Intern information. Information som bara ska vara tillgänglig för de som jobbar på företaget och som kräver inloggning.
3.Mindre grupper. Information som bara ska vara tillgänglig för vissa avdelningar. Till exempel persondata som bara HR har tillgång till, eller ekonomisk data som bara ekonomiavdelningen ska kunna hantera.
4.Enskilda personer. Data som är så känslig så att bara vissa, som vd eller styrelsemedlemmar, får ta del av den.
När ni har gjort den klassificeringen kan ni gå vidare med att sätta åtgärder för hur informationen ska hanteras. Till exempel att den i nivå 2 ska ligga på särskilda servrar, den i nivå 3 måste krypteras och att den i nivå 4 kräver väldigt tuffa säkerhetsåtgärder. Det hjälper er också att kravställa på hur information kan och får skickas mellan system. Säkerhetsklassningen gör så att det mottagande systemet kan förstå hur den ska hanteras. Till exempel om informationen ska krypteras.
Tips för hur ni förbättrar er informationssäkerhetsklassificering
Börja med att koppla ihop era process- och informationsmodeller. Det gör att ni ser vad ni gör med informationen, vilket styr hur skyddsvärd den är. Till exempel hur ni flyttar informationen (mejl, integrationer mellan system etc.)
När ni kan se informationen och förstår vad som händer när ni hanterar den, kan ni gå vidare till hur ni bäst bör hantera och klassa informationen. Om ni till exempel vill flytta information i den här säkerhetsnivån, vilka skyddsåtgärder krävs då för det?
Gör inte allting på en gång. Dela upp arbetet i mindre delar och börja med det som är viktigast. Kolla runt i organisationen får att få insikter om vilken data som är känslig och behöver skyddas.
Fördelarna med att arbeta aktivt med informationshantering och säkerhetsklassificering
När ni systematiskt jobbar med att skydda er känsliga information minskar ni risken för dataläckor och cyberattacker. Förutom att det ger er en förbättrad säkerhet minskar ni också risken för att oavsiktligt bryta mot regler och drabbas av straffavgifter. Framför allt när ni följer standarder som ISO 27001 som är utformade just för ökad säkerhet och regelefterlevnad. Det här säkerhetsarbetet visar att ni som organisation tar säkerheten på allvar och gör tillräckligt mycket för att skydda er och andras känsliga data. Något som ökar förtroendet för er och stärker varumärket.
Informationshantering i säkerhetsarbetet för även med sig en annan fördel. Strukturen och dokumentationen hjälper er att hitta rätt information snabbare, vilket underlättar arbetet i era processer. Med ökad effektivitet och högre säkerhet som resultat finns det all anledning att börja arbeta med informationsäkerhetsklassificering redan i dag.
Kontakta oss på aRway
aRway är experter på verksamhetsarkitektur och informationshantering. Vi kartlägger företag och organisationer för att effektivisera processer och för att ge struktur åt deras informationshantering. Vi dokumenterar hur informationen ser ut och jobbar modellbaserat med det för att göra det mer överskådligt. Vi kan hjälpa er med det svåra så att ert arbete blir lättare. Kontakta oss så berättar vi mer!