Informationssäkerhet – vi behöver ett länk-tänk
Oktober har sedan 2012 varit den Europeiska informationssäkerhetsmånaden. Det är en kampanj som ska främja en allmän medvetenhet och öka enskildas kunskap om informationssäkerhet. En hel del av informationen syftar till att sprida kunskapen om vad vi själva kan göra för att öka skyddet för våra uppgifter. Ett sätt att skydda sig är att förstå de vanligaste tekniska funktionerna vi kan stöta på i vår vardag. Då minskar risken att drabbas av skadlig kod som kan leda till att vår information går förlorad.
Det är viktigt både att skydda sin information, begränsa tillgången och att kunna ställa rätt krav på lämpliga skyddsmekanismer. Att skydda information enligt säkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet innebär i korthet och lite förenklat att rätt personer får rätt information i rätt tid. Det digitala flödet utsätts för olika typer av störningar som till exempel riktade it-attacker eller konfigurationsfel. Det är viktigt att ha kunskap om vilka hot min information utsätts för och vad jag kan göra för att skydda den.
I den tidiga utvecklingen av internet och vår användning av ”world wide web” var vi väl medvetna om när vi kopplade upp oss mot internet och modemet ljöd högt och ljudligt. Idag är nästan allt och alla uppkopplade, nästan utan att vi märker det. Vi blir snarare smärtsamt medvetna när vi inte kan nå de tjänster vi är vana att använda. Medvetenhet och kunskap är viktiga förutsättningar för att göra oss tryggare i det digitala samhället.
Tänk säkert
Kampanjen Europeiska informationssäkerhetsmånaden har ett ständigt återkommande budskap: STOP-THINK-CONNECT, som under senare tid har utvecklats till ThinkB4UClick. I Sverige bedrivs den årliga kampanjen Tänk säkert av MSB och Polismyndigheten, där många företag och organisationer medverkar. Syftet är att genom handfasta, tydliga och konkreta tips kunna vidta åtgärder för ett säkrare uppkopplat liv.
Länkar i säkerhetskedjan
Det är också viktigt att komma ihåg att informationssäkerhetsarbetet är ett lagarbete. Det spelar ingen roll hur säkra miljöer vi bygger eller hur starka lösenord vi skapar om det inte finns en kunskap om att mitt eget beteende är en viktig länk i den totala säkerhetskedjan. Vad händer om vi till exempel lämnar dörren olåst och öppen in till det säkraste valvet? Eller om vi sätter en lapp med det säkraste lösenordet nedskrivet på den låsta valvdörren?
Den välanvända (och kanske lite utnötta) liknelsen med en kedja med flera länkar är ett bra sätt att visualisera informationssäkerhetsarbetet. Kedjans hållbarhet (jämför med skydd) utgår från varje länk i kedjan och skapas genom att varje länk är en förutsättning för en stark kedja. Det är verkligen sant att kedjans totala styrka (säkerhet) inte är starkare än den svagaste länken. Vi alla, utifrån uppdrag och förmågor, utgör olika delar i säkerhetskedjan. Varje del är viktig.
För att skapa en lämplig och anpassad kedja gäller det att länkarnas storlek utgår från vad det är som ska skyddas. Om vi använder alldeles för stora och tunga länkar så blir det både tungt, krångligt och kan medföra att kedjan inte används. Dessutom är det kostsamt. Är länkarna istället för klena håller de inte en lämplig säkerhetsnivå och ger ett dåligt skydd. Informationssäkerhetsarbetet ska bedrivas systematiskt och vara ett förebyggande arbete som kontinuerligt verkar för att anpassa skyddet utifrån behov och risker. Därför är varje länk i den för uppdraget lämpliga kedjan viktig och behöver återkommande översyn och anpassning.
Vad gör IMY?
IMY är en viktig länk i den stora samhällskedjan. Myndighetens vision Ett tryggt informationssamhälle – tillsammans värnar vi den personliga integriteten speglar att det är vi tillsammans som skapar en trygg miljö för våra personuppgifter. IMY:s målbild för 2025 är att personlig integritet och dataskydd ska ha ett tydligt fokus på alla nivåer i samhället och omfatta kunskapsstöd och samverkan.
Ett systematiskt och riskbaserat informationssäkerhetsarbete utgör en viktig grund även för ett bra dataskydd. Informationssäkerheten bedömer risker ur ett bredare perspektiv, medan utgångspunkten i dataskyddsförordningen är risker för kränkningar av enskilda individers fri- och rättigheter. Informationssäkerhet och integritets- och dataskydd har delvis olika perspektiv, men det finns många beröringspunkter. Det gör att säkerhetsåtgärder inom ett område ofta leder till höjd säkerhet även inom det andra.
Varje länk är viktig och varje månad borde vara en informationssäkerhetsmånad!
Ulrika Sundling,
Informationssäkerhetsansvarig IMY