Hur skapar du ett strukturerat säkerhetsarbete?

Vad är viktigt att tänka på när du skapar ett strukturerat säkerhetsarbete? Hur bör du organisera din verksamhet för att förebygga - och vara beredd - om en incident sker? Så kommer du igång. 

1. Börja med att göra en informationsklassning

Lista organisationens tillgångar, det vill säga allt ni har som är skyddsvärt. Det kan vara kritisk data, processer eller personal. Vad har ett skyddsvärde och vad som har ett högt sådant? Gör en riskvärdering och prioritera utifrån den. 

2. Hur frekvent ändras respektive tillgång?

Hur ofta byter ni personal eller andra tillgångar? Är personalen i din organisation relativt statisk kan det räcka med att säkra introduktionen av nya medarbetare till inlagda riktlinjer. Har du ett mjukvaruföretag som producerar källkod eller har andra tillgångar som ständigt vidareutvecklas behöver du ett annat typ av säkerhetsprogram för att upprätthålla en hög standard.

3. Gör en risk- och kontinuitetsplan

En sak är att lista tillgångar utifrån hur kritiska de är - men vad händer om tillgångarna försvinner? Eller om kritiska personer försvinner? Hur återställer du data och vad gör du om någon blir långtidssjukskriven eller en cyberattack stänger ner dina mailservrar under flera dagar? Se till att prioritera viktiga tillgångar för att minska riskerna och få kontroll.  Använd din riskplan för att skapa en kontinuitetsplan. Öva, utvärdera övningen och repetera. 

4. Ha en tydlig ansvarsfördelning

För att säkerhetsarbetet ska fungera långsiktigt krävs en tydlig ansvarsfördelning. Det gäller oavsett om du har en stor eller liten organisation. Informationssäkerhetspolicyn måste vara förankrad på ledningsnivå och distribueras i organisationen. Det är viktigt att ledningen har en tydlig plan för hur de tar arbetet vidare till chefsledet, genom hela livscykeln av anställning och system.