Policyer och riktlinjer för informationssäkerhet −
bara ord eller verklig handling?
Många offentliga organisationer har med största sannolikhet dokument med policyer och riktlinjer för informationssäkerhet. Men hur väl är de implementerade i den dagliga verksamheten? Finns resurserna och den nödvändiga kompetensen för att säkerställa efterlevnad och en kontinuerlig förbättringsprocess? Alltför ofta är riktlinjer för informationssäkerhet bara ord i ett dokument, i stället för vara något som genomsyrar hela organisationens kultur och alla dess processer.
Hotet inifrån − den tysta och potentiellt förödande risken
Informationssäkerhetens fokus ligger ofta på externa angrepp, men hotet inifrån får inte underskattas. Det handlar inte bara om omedvetna medarbetare som kan falla offer för nätfiske, utan även om individer med illvilliga avsikter. Bristande kontroll av bakgrunder och behörigheter, liksom en kultur av tystnad inom organisationen, är faktorer som bidrar till en farlig miljö där känslig information kan missbrukas.
Korruptionens mörka skugga över informationssäkerheten
När incitamenten för personlig vinning eller otillbörlig påverkan ökar, blir informationssäkerheten än viktigare. Känslig information kan då potentiellt användas för utpressning, otillbörlig favorisering eller till och med direkt kriminell verksamhet. I en sådan miljö blir skyddet av information inte bara en teknisk angelägenhet, utan en fundamental fråga om integritet och förtroende för hela det offentliga systemet.
Vad måste göras omedelbart?
Det är hög tid att vi kollektivt vaknar upp och inser det allvarliga läget. Vi behöver en kraftfull och samordnad insats på nationell nivå för att i grunden stärka informationssäkerheten inom alla offentliga organisationer.
Det inkluderar:
- Interna revisioner för att upptäcka sårbarheter
Regelbundna och oberoende revisioner samt en organisationskultur där säkerhet genomsyrar alla beslut och ageranden på alla nivåer. - Prioritering av insiderhot
Skärpta och kontinuerliga kontroller av åtkomstbehörigheter, obligatoriska bakgrundskontroller av personal samt aktiva åtgärder för att främja en öppen och säkerhetsmedveten företagskultur där man vågar rapportera avvikelser. - Noll tolerans mot korruption i alla dess former
Implementering av starkare mekanismer för att effektivt förebygga, snabbt upptäcka och kraftfullt bekämpa korruption inom alla delar av den offentliga sektorn. Ökad transparens i beslutsprocesser och oberoende granskning är här av yttersta vikt. - Förstärkt samarbete på alla nivåer
Ett intensivare och mer strukturerat samarbete mellan myndigheter, ledande forskningsinstitutioner och det privata näringslivet för att kontinuerligt dela kunskap, utbyta erfarenheter och implementera bästa praxis inom informationssäkerhet. - Ökade resurser och spetskompetens
Rekrytering av specialister inom informationssäkerhet och en nödvändig modernisering av den digitala infrastrukturen är inte längre valfritt − det är en absolut nödvändighet.
Sveriges välfärd och vårt demokratiska samhälles fundament bygger på ett starkt och orubbligt förtroende för våra offentliga institutioner. Det är dags att agera kraftfullt och enat innan detta tysta hot får förödande och potentiellt irreparabla konsekvenser för vårt samhälle.
I Stockholm den 9 maj håller CANEA i samarbete med SRS Security ett seminarium på detta tema! Anmäl dig här.
Nicolas ter Wisscha
Principal Management Consultant
Nicolas har arbetat som managementkonsult på CANEA sedan 2007. Hans huvudsakliga kompetensområden innefattar strategiarbete, ledningssystem, revision, processutveckling och verksamhetsutveckling.
