Informationssäkerhet – mer än bara IT
Ofta hanterar företag i den grafiska branschen känslig information för sina kunders räkning, och bristande informationssäkerhet kan leda till både ekonomiska förluster och misstro bland kunder. Ett kontinuerligt säkerhetsarbete blir allt viktigare. Ett sätt kan vara att ISO-certifiera företaget.
De senaste åren har man kunnat läsa om IT-intrång hos butikskedjor, myndigheter och kommuner, där brister i IT-säkerheten gjort att obehöriga aktörer fått tillgång till data som ofta innehållit känslig information om privatpersoner eller kunder. Inte heller den grafiska branschen är förskonad från incidenter och IT-säkerhetsrisker.
Den nya dataskyddsförordningen, GDPR, tvingade företag att få ordning på personuppgifter, men när det gäller annan informationssäkerhet återstår mycket arbete hos många företag. Det är inte så enkelt som att köpa in ett system – informationssäkerhet är ett arbete som måste göras kontinuerligt av alla i en organisation, och det handlar om både stort och smått.
ISO-certifiering kräver systematiskt risktänk
Ett sätt höja säkerhetsnivån är att ISO-certifiera företaget. ISO 27001 är en standard för informationssäkerhet, och innefattar bland annat risk- och konsekvensanalyser, klassificering av informationstillgångar och framtagande av policyer.
Tryckeriet Exakta är mitt uppe i arbetet med ISO 27001-certifiering. Arbetet har pågått i ungefär ett år och har hittills handlat om att analysera och kartlägga organisationens säkerhetsmognad, ta fram dokumentation och säkerställa rutiner. Exakta har delvis gjort arbetet själva, delvis tagit hjälp av en konsult. Arbetet leds av Charlotte Trelde som är försäljningschef för områdena Offentlig Sektor och Pharma, kundsegment som till stor del präglas av höga krav på informationssäkerhet.
Ofta har vi bra brandväggar, låsta grindar och larm, men risker finns också i hur vi som medarbetare agerar.
– Vi gör detta dels för att det är ett krav från kunder, dels för att säkerställa att bolaget är så lite sårbart som möjligt. En vanlig missuppfattning är att ISO 27001 enbart handlar om IT-säkerhet, men det gäller också fysisk informationssäkerhet, som att datorer står på eller papper med känslig information ligger framme. Ofta har vi bra brandväggar, låsta grindar och larm, men risker finns också i hur vi som medarbetare agerar. En så enkel sak som att låsa sin dator när man lämnar den eller slänga sekretessmaterial i avsedda kärl är lätt att missa om man inte har gjorts uppmärksam på potentiella konsekvenser.
Utbildning är därför en viktig del i arbetet och Charlotte Trelde har märkt stor skillnad på personalens uppmärksamhet kring IT-säkerhet efter att Exakta påbörjade sin säkerhetsutbildning.
Charlotte Trelde, försäljningschef för områdena Offentlig Sektor och Pharma, Exakta.
Vilka utmaningar har ni upplevt med certifieringsarbetet?
– Det är en form av förändringsarbete, det måste man ha respekt för. Det kan lätt uppstå en trötthet i företaget, man kan tänka ”inte en certifiering till!”. Då är det viktigt att förankra varför vi gör det och där är säkerhetsutbildningen ett första steg. Jag tror ändå att det här är den certifiering som organisationen bäst förstår varför vi genomför.
Teknik oftast inte största risken
I sitt arbete med certifieringen har Exakta tagit hjälp av Astrit Morina som är senior cybersäkerhetsrådgivare på NetNordic. Han bekräftar vikten av utbildning.
– Många tänker teknik, men dagens operativsystem räcker långt, och teknik är oftast inte det som utgör den största risken. Det vanligaste sättet för en obehörig att komma åt kritisk information är via enskilda medarbetare, till exempel genom att få någon att klicka på en länk, öppna en fil eller uppge ett lösenord. Ofta är utbildning snarare än avancerad teknik det som ger mest. Att höja medvetenheten i företaget är det viktigaste.
Hur kan ett lite mindre företag jobba med sin informationssäkerhet?
– Man behöver göra en genomlysning av företaget för att ta reda på vilka områden man behöver förbättra. Det finns bra hjälpmedel i form av CIS-ramverket. Man kan göra det på egen hand eller ta hjälp. Nästa steg kan vara en ISO-certifiering, men det kräver en viss mognad och att processer och styrning finns på plats.
För Exakta är nästa steg att formellt påbörja implementeringen inför certifieringen. Vad ser de då som de största fördelarna med certifieringen?
– Det gör det förstås enklare i upphandlingar. En viktig del är också de löpande externa revisionerna, att någon utifrån kommer in och granskar och kan ge råd. Men det allra viktigaste är ändå inte certifikatet i sig utan själva informationssäkerhetsarbetet, säger Charlotte Trelde.