WE 1
1:2018 | GOD SÄKERHETSKULTUR LÖSENORDSPARADOX Det
är nu 2018 och ett allvarligt problem, enligt Anne-Marie Eklund Löwinder, är att en stor del av företagens information fortfarande kan nås via ett lösenord. »Och här finns det en lösenordsparadox - du vet att det är dåligt att använda för enkla och för korta lösenord liksom samma lösenord för alla inloggningar, men du gör det i alla fall.« ENGAGERA LEDNING OCH STYRELSE I dagens komplexa miljöer är informationssäkerhetsarbetet inte något som kan skötas av en ensam säkerhetsansvarig. Samarbete är A och O för att kunna möta utmaningarna. »Det är viktigt att samarbeta över »Dataintrång och informella dataläckage kan bli förödande för företagen.« ANNE-MARIE EKLUND LÖWINDER, IIS INTERNETSTIFTELSEN I SVERIGE Det behöver inte vara dåligt med lösenord i sig. Det finns idag väldigt få alternativ som kan konkurrera med lösenord när det gäller enkelhet och kostnader, men det ställer krav på användarna. Det är sättet vi väljer att hantera lösenorden på som är dåligt. »Företagen kan här hjälpa sina anställda med lösenordshanterare och bättre kvalitet på valet av lösenord, öka mängden tecken och svartlista de 500 vanligaste lösenorden. Redan här reduceras riskerna radikalt. Det är svårare att komma ihåg ett längre lösenord, men för varje tecken gör du det svårare för obehöriga intrång. De verktyg som idag används för att knäcka lösenord är otroligt avancerade och mycket kompetenta och de kan knäcka för enkla koder på nåra sekunder. Här måste chefer och ledare föregå med gott exempel, det är många gånger de som är de stora syndarna.« 32 avdelningsgränser och med andra chefer. Säkerhetsfrågan måste återspeglas i strategier, i styrelsearbetet och hos ledningen. Ytterst är det alltid ledningens ansvar och därför bör den digitala kompetensen finnas även hos ledning och styrelse«, säger Anne-Marie Eklund-Löwinder. En vanlig sådan roll uppbärs av en så kallad CISO (Chief Information Security Officer), som rapporterar direkt till VD. Denne är tänkt att fungera som brobyggare mellan säkerhet, affärsverksamhet och ledning och han eller hon ska se till att skapa en bra och riskmedveten miljö. GÖR RISKBEDÖMNINGAR Digitaliseringen sätter fokus på snabbhet, flexibilitet och innovation. »Det är lätt att ryckas med, men det gäller att hålla huvudet kallt. Ju mer fokus på innovation och snabbhet, desto större blir faktiskt behovet av att ha systematik och metodstöd på plats. Det är något många glömmer. När det gäller ny teknik är det lätt att bete sig som en sömngångare genom att gå rakt in i nya saker, utan att ha tänkt efter innan«, säger Anne-Marie Eklund Löwinder. Därför är det av stor vikt att hela tiden göra digitala risk- och sårbarhetsanalyser för att på det viset måla upp en bild av vilka hot företaget står inför, liksom vilka prioriteringar som behöver göras och vilka åtgärder som behöver sättas in. I riskanalysen måste alltid faktorer som kostnader och effektivitet vägas in. UPPRÄTTA EN BEREDSKAPSPLAN Med analysen som grund skapas sedan en beredskap med rutiner, processer och en fungerande kommunikationsplan om och när en incident inträffar. »Det är viktigt att berätta för sina kunder när något går fel. Använd exempelvis sociala medier om plattformen ligger nere. Då är det lättare att få förståelse från kundernas sida. Och fortsätt att öva och testa olika scenarier – den som inte övat har ingen plan. Det brukar var mycket lärorikt för organisationen och det bidrar till att öka säkerhetsmedvetandet och korta ned omställningstiderna.« Det här med att hantera risker och försöka se långt in i framtiden är inte lätt. För att lyckas bör det, enligt Anne-Marie Eklund Löwinder, vara högt i tak, där fantasin får fritt spelrum och inga förslag är dumma förslag. »Vår fantasi har nämligen sina begränsningar. Vi kommer aldrig att kunna tänka lika ondskefullt som en angripare gör. Analysera risker och motverka effekten av dem är något vi behöver lära oss allihop. Företagen måste förstå vilken information som är viktig och känslig, de måste kunna garantera att informationen är korrekt, se till att den är tillgänglig för rätt personer och att den är spårbar, så att det framgår vem som har hanterat den. Dessutom måste de kartlägga alla existerande hotbilder och konsekvenserna av dessa innan de i nästa steg försöker göra en korrekt bedömning om det är värt att ta en risk eller ej.« ISO 27001 TÄCKER ALLT Därefter är det dags att certifiera anläggningen eller företaget enligt ISO 27001, som är standard för ett ledningssystem för informationssäkerhet. I många länder är det ett krav från myndigheterna att en sådan certifiering finns för att få drifta vitala infrastrukturer, som till exempel elnät, VA, fjärrvärme/kyla och så vidare. »I ISO 27001 finns alla nödvändiga krav med och det bör integreras med övriga ledningssystem, så att inte varje nytt system upplevs som en börda för de som jobbar med detta. Det bör vara en del av affärs- och affärsutvecklingsprocessen att systematiskt jobba med detta«, slutar Anne-Marie Eklund Löwinder.