Dags att börja mäta informationssäkerhet?

Informationssäkerheten är i fokus inom de flesta branscher och affärsområden. Det arbetas intensivt med LIS-införanden, riskramverk och implementation av diverse säkerhetskontroller. Dessa områden skapar i sig utmaningar kopplat till mognadsgrad, tekniska plattformar, budget mm. I den allmänna ivern att tydliggöra säkerhetsarbetet ligger uppföljning och kontroll ofta på revisionsprocessen. Dagens snabba digitalisering samt en komplex hotbild ställer dock krav på tydligare, automatiserad och nivåanpassad mätning av faktisk risknivå.

Analytics, Big data och Business Intelligence är etablerade begrepp för uppföljning och trendanalys inom områden som finansiell styrning, marknadsföring, resursallokering etc. Detta är dock sällsynt, om än existerande, för kvalitetsegenskapen informationssäkerhet. Varför är det så? Potentialen och behovet finns; exempelvis för att hantera och säkra framväxten av Internet of things, utökad outsourcing, användning av molnet, iterativ projektutveckling oberoende av fysisk lokalisering samt ny lagstiftning (ex. EUs nya dataskyddsförordning).

Trenden är att standarder som ISO 27001 LIS skiftar fokus från revisionsdriven uppföljning till en mer mätvärdesfokuserad kontinuerlig styrning. Fördelarna ligger främst i tydligheten och snabbheten vilket möjliggör snabba anpassningar.

ISO 27004 Styrning av informationssäkerhet – mätning, ger en grund med uppdelning av uppföljning i områden som;

• Utvärdering av uppfyllnadsnivå av säkerhetskrav
• Generell risknivå
• Utvärdering av LIS efterlevnad (processer, uppdatering, revision etc.)
• Faktisk implementation och effekt av säkerhetskontroller

Av dessa punkter upplever jag att LIS-efterlevnad många gånger följs upp, där en sådan implementerats. Vanligt är då att exempelvis antalet genomförda riskanalyser, antal kontrollpunkter etc. radas upp och bedöms (exempelvis med automatiserade ITGRC-moduler). Men hur vet vi att kontrollerna har önskad effekt? Hur styr vi nyttan av arbetet kopplat till strategiska val? Denna faktiska nytta av implementerade kontrollpunkter kräver en betydligt mer ambitiös vision. Klassiska data management frågor kring skalbarhet, datainhämtning, sensorer (kodanalys, skanners, systemklassningar etc.) och visualisering blir då nästa steg.

Det finns alltså ett växande behov av ett helhetstänk kring hur säkerheten kontinuerligt kan mätas i dagens digitala verklighet. Genom att mäta detta skapas en genomgående förståelse för organisationens totala risknivå med rätt beslut i rätt tid. Det är dock tydligt att det finns utmaningar inom området. Delvis finns teknikstödet tillgängligt, men mycket arbete krävs för att skapa heltäckande och tydliga mätvärden. Nu är det läge att prioritera detta arbete.

Infosäk analytics – så går du vidare:

• Lär av varandra – koppla ihop säkerhets- och analysgrupperingar
• Börja enkelt och bygg stegvis
• Utgå ifrån etablerad infrastruktur

// Peter Björkman

Informationssäkerhetskonsult SAFESIDE SOLUTIONS AB