Av Nicklas Franklin, VD iSE
Säkerhet är ett begrepp som används allt flitigare och ett område som allt mer påverkar våra handlingar och beslut, både i vår vardag och på vår arbetsplats. Vi ser till att våra barn sitter bakåtvända i godkända bilstolar och att dom använder cykelhjälm, vi installerar larm, brandvarnare och säkerhetsdörrar i våra bostäder, vi tänker oss för när vi väljer resmål och transportsätt, vi använder virusprogram och brandväggar i våra datorer. Allt för att minska riskerna och öka tryggheten. Säkerhetsmedvetandet har höjts betydligt de senaste åren men har riskerna och hoten ökat? På den frågan finns självklart inget enkelt svar. Det har alltid funnits risker och hot men karaktären ändras med tiden. Risken att bli angripen av vilda djur eller att frysa ihjäl en kall vinter är knappast risker vi, i vårt land, behöver bry sig om nu för tiden. Däremot har risken för att drabbas av ett terrortentat eller en tsunami ökat på senare år, eftersom vi oftare reser till platser där risken för sådana händelser är större.
Analysera riskerna
För att handla riskmedvetet måste vi använda någon slags analysmodell. Vilka risker eller hot finns? Vad är sannolikheten för att de ska inträffa? Vad blir konsekvensen? Först när man svarat på dessa frågor kan man börja fundera över hur man ska ordna skyddet. Ska vi eliminera risken helt eller nöja oss med att minimera den? Oftast är det omöjligt att eliminera en risk helt eftersom andra delar i vardagen eller verksamheten måste fungera eller för att kostnaden blir för hög. Man måste också beakta nya risker som uppstår när man skaffar sig skydd sig mot ett hot, exempelvis så ökar risken för kidnappningar när banker och värdestransportörer blir bättre på att skydda pengarna mot stöld och rån.
Alla företag står inför ett antal risker, oavsett bransch. En del av riskerna är ungefär de samma för alla, till exempel: brand på grund av åsknedslag, inbrott och olycksfall. Andra är branschspecifika som: bankrån, våld mot tjänsteman, industrispionage eller haveri i en tryckpress. För att säkerställa produktionen måste man bedriva ett sytematiskt säkerhetsarbete och arbeta aktivt med sitt skydd.
Skydda företagsinformation
Företagen är allt mer beroende av sin information och det finns flera sätt som den kan komma i orätta händer, skadas eller försvinna. Att skydda informationen, oavsett om den är elektronisk eller i annan form, är en nödvändighet. Innan man funderar över hur den ska skyddas bör man först klassificera informationen. Är den allmän, intern eller hemlig.
Stora industriföretag som utvecklar ny teknik eller läkemedel är självklart mer utsatta för risker som informationsläckage och industrispionage och de arbetar aktivt med att skydda sig mot dessa. Min erfarenhet är att det istället är andra företag som inte tar informations-säkerheten på allvar. Riskerna på detta område måste också identifieras, analyseras och motverkas.
Vad händer om polisen beslagtar företagets server för att en anställd använt företagets dator för olaglig fildelning? Eller vad får det för konsekvenser när en bärbar dator blir stulen ur en bil och all samlad information i ett viktigt kundprojekt bara fanns i just den datorn.
I samband med ett riskanalysarbete träffade jag en it-chef på ett medelstort företag och han berättade om deras backupsystem. Man gjorde en backup på ett band varje dag. Detta band förvarades under dagtid på it-chefens skrivbordbord, i ett olåst kontorsrum och när han gick hem för dagen tog han med det hem och förvarade det i bostaden över natten. Han menade att detta var ett fullgott skydd vilket jag inte alls kunde hålla med om. Företagsledningen ansåg inte att man hade någon information som var av sådan natur att det kunde skada verksamheten om den kom ut och därför var risken för stöld mycket liten. Att informationen inte var känslig kan jag i stort hålla med om, men tillfället gör ju ofta som bekant tjuven och genom att göra det lätt att stjäla bandet ökar risken för stöld. It-chefens skrivbord fanns dessutom i närheten av serverrummet och vid en brand, under dagtid, var risken stor att både bandet och servern skulle gå förlorade. Vad hade i så fall blivit konsekvensen? Hur många dagars eller veckors arbete hade krävts för att återställa all information och vad hade kostnaden blivit?
Fyra kategorier av risker
Risker kan delas in i fyra kategorier och nedan följer några exempel inom området informationssäkerhet:
- Interna, oavsiktliga risker (ex. avbrott på grund av el- eller teleavbrott, olyckor)
- Interna, avsiktliga risker (ex. stöld av dokument eller datamedia, sabotage, bedrägerier)
- Externa, oavsiktliga risker (ex. brand, översvämning)
- Externa, avsiktliga risker (ex. avlyssning, virus, hacking, stöld av datorer)
Företagets skydd består av många komponenter och inte alls bara av fysiska skyddsåtgärder som lås och larm. Minst lika viktigt är säkerhetspolicyn och de instruktioner som följer av den, säkerhetsmedvetna ledare och medarbetare och noggranna kontroller vid nyanställningar. Allt för ofta ser man företag som satsat mycket pengar på taggtrådsstaket och avancerade larmanläggningar men har bristfällig kontroll över vad som sker innanför väggarna.
Se Informators utbildningar inom säkerhet.