tisdag 12 juni 2018

Vad är informationssäkerhet för just dig?

Hur beskriver man något som informationssäkerhet på ett enkelt sätt?

Jag har försökt; på väldigt många sätt; beskriva informationssäkerhet förenklat så många ska kunna relatera och förstå vad det handlar om. Jag har dragit liknelser mot t.ex. en bil, vilket många har erfarenhet av. Sedan försökte jag med en kaffekopp, det här ännu fler erfarenhet av.

Så här det fortsatt men till slut kommer vi till läget där vi måste lära på en djupare nivå. Orsaken är till stor del att vi måste få ett gemensamt språk när vi pratar om informationssäkerhet för att kunna förstå varandra. Om en pratar kaffe medans en annan pratar bilar kommer vi inte förstå, inte helt i alla fall.

Det uppstår problem när vi kallar saker olika namn och i värsta fall har ett gemensamt namn för något men det är inte samma sak. Ta ordet information till exempel...

Vad är information? 

En tycker det är allt som skickas till och från varandra. En annan tycker det är sådant man lagrar på datorer eller det man ser på tv eller hör på radios nyheter osv. Men vad menar du med ordet information? Vad är det?

Jag tittade upp ordet på SAOL.

SAOL

tryckår: 2015  
in·­form·­at·ion substantiv ~en ~er • upp­lysningar, under­rättelser; plats där detta lämnas: ​sitta i informationen
1. (med­delad) mängd fakta vanligen av mer el. mindre exakt slag

2. inre struktur som reglerar viss process särsk. om cellernas molekyl­struktur som bestämmer arvs­anlagen

... och det slutade inte där.  Massor av förklaringar och exempel fanns att läsa (och vill du göra det så är länken).

Sedan kan man göra samma med ordet säkerhet. 

Vad är säkerhet?

SAOL

tryckår: 2015  
säker·­het substantiv ~en ~er till säker 1: ​an­svara för presidentens säkerhet; ​ställa säkerhet ställa pant el. borgentill säker 2​ – Alla sammansättn. med säkerhets- hör till säkerhet 1.
1. till­stånd som inte inne­bär fara
2. visshet
3. själv­förtroende
4. garanti för åter­betalning av lån i form av till­fälligt över­låtande e.d. av egendom


SAOL

tryckår: 2015  
in·­form·­at·ions|­säker·­hetsubstantiv ~en informationsäkerhet 1


Vad kan vi läsa ut av det?

Det är självklart att vi inte kan komma vidare med informationssäkerhet om vi inte ens kan komma överens om vad ordet betyder. 

Om du inte vet vad du menar med informationssäkerhet är det lätt att falla för frestelsen att googla upp det. 

Jag testar att googla bara ordet "Informationssäkerhet" och får upp följande (nu vet jag att det blir lite olika för alla och det är mitt specialområde men i alla fall. )

GOOGLE resultat


  1. Övervakning och konsulttjänster. Riskkontroll för er trygghet. Riskkontroll ökar vinst.

  2. Stabil driftspartner med fokus på informationssäkerhet. ISO 27001 certifierade

  3. If ger dig ersättning och dessutom experthjälp från IBM. Branschanpassad. För små och stora företag. Besked inom 24 timmar. Toppbetyg skadehantering. Skräddarsydda lösningar.

  4. Ladda ner vår ISO 27001 checklista och gör en egen bedömning redan idag.
En massa annonser om och från diverse företag,  men vad erbjuder de egentligen?

Om jag hoppar över annonserna ser vi resultat som..

Därför är informationssäkerhet viktigt. Information är medlet för att förmedla kunskap . Vi kan kommunicera information, vi kan lagra den, ...

Informationssäkerhet från www.msb.se

MSB har i uppgift att samordna arbetet med samhällets informationssäkerhet. Arbetet berör hela samhället – från organisationer, ...
Informationssäkerhet är de åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ...
Informationssäkerhet. Att information hanteras säkert är viktigt även för kommuner, landsting och regioner. I praktiken innebär det att ...
Du besökte den här sidan den 2018-04-25.

Informationssäkerhet från internt.slu.se

27 feb. 2018 · SLU:s LIS består av ramverk, processer och tillhörande resurser som gör att SLU kan uppnå bra informationssäkerhet.
Informationssäkerhet handlar om att rätt användare ska ha rätt information vid rätt tidpunkt. Det kan också vara viktigt att kunna gå bakåt ...

Google resultat (för mej ..)

För mig dyker SKL och MSB upp tidigt, jag använder mig mycket av deras metod stöd och rekommendationer.
Det jag vill visa här är att det är lätt att lyssna på dem som skriker högst och då hamnar vi i händerna på leverantörer som vill säga sina lösningar eller konsult tjänster. Men det är inte alls säkert att det är vad du behöver.

Men sätt ihop orden information och säkerhet så blir resultatet kanske mer förståeligt?.

- En mängd fakta (av mer el. mindre exakt slag) och en inre struktur som reglerar processer i ett till­stånd som inte inne­bär fara.

Inte helt rätt det heller. Inte helt lätt att förstå heller.

En gemensam definition

När vi ska hitta en definition tittar vi på standarder som finns och krav som ställs. 

En vanlig definition är att informationssäkerhet innebär att skydda sin information så:
  • att den alltid finns när vi behöver den (tillgänglighet)
  • att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)
  • att endast behöriga personer får ta del av den (konfidentialitet)
Det är egentligen inte en definition, mer en målbild, och alla är inte helt överens om ens den men den är bättre än annat jag hittat. 

Vissa (eller de flesta) har hört att man ska ha ett ledningssystem för informationssäkerhet (LIS) och ser det som lösningen. 

Ledningssystem för informationssäkerhet

Ledningssystem för informationssäkerhet, eller LIS, hänvisar till standardserien SS-ISO/IEC 27000 Ledningssystem för informationssäkerhet.  ISO 27000 serien är en internationell standard som ger ett beprövat ramverk för att få ett grepp om och hantera informationssäkerhet i organisationen. Standarden ger stöd för alla aspekter av informationssäkerhet på ett enkelt och konkret sätt.

Nej inte ens ett LIS är svaret på vad är informationssäkerhet. Men det ger en vägledning och erbjuder stöd genom standarder som visar lite om hur du bör göra och vilkas krav som kan ställas. Visst har man kommit en bit på väg med ett LIS men det förutsätter också en hel del, som till exempel att det är ett "levande system" och inte en pappers tiger. Det krävs att ledningen är engagerad och att alla anställda är väl förtrogna med regler och riktlinjer. Och följer dem?!
Men inget som sagt är LIS kommer inte ge dej informationssäkerhet. 
Informationssäkerhet handlar om något helt annat. 
För att gemensamt förstå och ha samma bild av informationssäkerhet och vad det är måste vi först få ett gemensamt språk som alla har accepterat och använder, sedan måste alla reda ut vad  informationssäkerhet innebär för just dem. 
Det krävs alltså att vi har en bra säkerhetskultur för att lyckas.
(Det är faktiskt inte så svårt som det låter men det är ganska mycket som ska göras och det kräver engagemang och att alla är med på tåget.)