Informationssäkerhet vs it-säkerhet – vad är vad?
Enligt artikel 5.1 f i dataskyddsförordningen ska personuppgifter ”behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder”. När det gäller säkerhet för personuppgifter så förekommer ofta två olika begrepp: informationssäkerhet och it-säkerhet. Men vad är det egentligen för skillnad på dessa två begrepp?
– Kort förklarat är informationssäkerhet den samlade, övergripande säkerhet som ska se till att den information som finns i en organisation alltid är korrekt, tillgänglig och skyddad från obehörig åtkomst, förklarar Magnus Bergström som är it- och informationssäkerhetsspecialist på IMY. It-säkerhet är en viktig del, men bara en del av informationssäkerheten. Även om information idag till mycket stor del produceras och tillhandahålls via it-system så rör informationssäkerhet all typ av information, även exempelvis information i pappersformat. Informationssäkerhetsarbetet omfattar också mer än skyddet för just personuppgifter.
– Informationssäkerhet brukar delas in i två ben: administrativ säkerhet och teknisk säkerhet. Ofta förknippar man skydd av data med olika tekniska skydd som brandväggar, kryptering och liknande men den administrativa säkerheten är minst lika viktig.
Den tekniska säkerheten delas typiskt in i två delar: fysisk säkerhet och it-säkerhet. Fysisk säkerhet är saker som larm till lokalerna, kodlås till kontorsrum, kassaskåp för att skydda känslig information som lagras på it-utrustning eller i pappersformat. It-säkerhet handlar om allt från vpn-förbindelser och antivirus till intrångsdetektering och säkerhetskopiering.
Den administrativa säkerheten handlar om att se till att det finns ändamålsenliga policys, rutiner och instruktioner på plats som beskriver hur information ska hanteras i organisationen, till exempel hur anställda ska hantera information, men även hur man hanterar behörigheter till olika it-system.
– Enligt vår rapport över de personuppgiftsincidenter som skedde 2020 beror över hälften av alla incidenter på den mänskliga faktorn. I informationssäkerhetsarbetet kan det vara aktuellt att se över både den administrativa och tekniska säkerheten för att minimera risken för fel orsakade av den mänskliga faktorn. Det kan behövas tydligare riktlinjer som de anställda dessutom löpande ska bli informerade om men det kan även behövas it-tekniska lösningar som minskar risken för misstag.
Du och dina två kollegor är it- och informationssäkerhetsspecialister. Vad innebär det?
– I korthet betyder det att vi är lite bättre på teknik och hur teknik funkar än våra övriga kollegor, som i de flesta fall är jurister. Jag brukar beskriva det vi jobbar med som att vi utreder och bedömer vad som i olika situationer är lämpliga åtgärder och en lämplig säkerhetsnivå.
– I skrivande stund är vi tre stycken it- och informationssäkerhetsspecialister men inom kort får vi förstärkning av ytterligare fyra personer.
När du är med på någon av IMY:s tillsyner, granskar du då informationssäkerheten eller it-säkerheten?
– Både och, eller rättare sagt, det beror på vad tillsynen omfattar. GDPR ställer ju krav på att både tekniska och organisatoriska åtgärder ska vidtas för att ge en lämplig säkerhetsnivå. Om vi granskar till exempel behörighetsstyrningen för åtkomst till personuppgifter hos en organisation så har det både tekniska och organisatoriska aspekter. Hur kan åtkomstmöjligheter styras och begränsas rent tekniskt? Men även hur ser rutinerna ut för tilldelning, ändring, borttagning och uppföljning av behörigheterna ut? Det är ju sett till helheten som säkerheten ska vara lämplig, det vill säga tillräcklig.
Ytterligare ett begrepp förutom informationssäkerhet och it-säkerhet är dataskydd. Vad är det?
– Det är ett ännu vidare begrepp som omfattar hela det regelverk som syftar till att tillgodose registrerades rätt till privatliv i samband med behandling av personuppgifter. Det handlar om att behandlingen sker i enlighet med de grundläggande dataskyddsprinciperna, att behandlingen är laglig, att registrerades rättigheter tillgodoses och att inblandade aktörer uppfyller alla sina respektive skyldigheter, inklusive upprätthållandet av en lämplig säkerhet.