Sourcecom berättar om IT-säkerhet i SvD

Beroendet av IT i vårt samhälle är betydligt större än förståelsen av det. IT är en verksamhetskritisk faktor i nästan alla organisationer. En medvetenhet kring vilka IT-baserade funktioner som verksamheten är beroende av är därför avgörande för att kunna planera effektiva säkerhetsinsatser. En strategisk riskmedvetenhet som är väl förankrad i organisationens övergripande verksamhetsmål ger en förståelse som sträcker sig från ledningsnivå ner till teknikernivå.
– Vi hjälper våra kunder att förstå och agera på de faktorer som riskerar att hindra verksamheten från att nå sina mål. T.ex. genomför vi workshops där verksamhetsföreträdare tillsammans med deltagare från IT delar med sig av varandras perspektiv och uppnår en samsyn på kritiska funktioner och risker. Vi bistår i analysarbetet som utmynnar i en avstämd, rätt säkerhetsnivå. Det gör att våra kunder kan lägga resurserna på rätt insatser och fatta beslut om åtgärder som verkligen fyller sitt syfte, säger Lars Eriksson, riskkonsult på Sourcecom med cirka tjugo års erfarenhet som Informations- och IT-säkerhetsspecialist.

Förflyttar fokus från tekniska lösningar till strategisk riskhantering
Han menar att IT-säkerhetsbranschen traditionellt sett fokuserat för mycket på tekniska lösningar och alltför lite på kärnfrågan; en gedigen analys av vilka funktioner som behöver skyddas och presumtiva risker kopplade till dessa. Ett verksamhetsstyrt säkerhetsarbete bygger på en nära dialog och samstämmighet mellan verksamhetsledning och IT.
– Vi genomför bland annat GAP-analyser som, med hjälp av interna djupintervjuer kombinerat med tekniska granskningar, kartlägger befintliga brister i säkerhetsarbetet. Vi utgår från kundens egna styrdokument samt best practice dvs. ISO 27000-serien. Analysen sätter fingret på de faktorer som är mest kritiska för att verksamheten ska kunna bedrivas på ett säkert ändamålsenligt sätt, exempelvis hantering av behörigheter och ändringshantering (Change Management). Både verksamhets- och IT-ansvariga är engagerade och delaktiga, säger Lars Eriksson.

Synkronisera IT-säkerhetsarbetet med verksamhetens övergripande utveckling
När förståelsen för IT- och verksamhetsrisker ökar kan ledningen göra mer korrekta och ändamålsenliga kravställningar till IT-avdelningen/IT-tjänsteleverantören. Sourcecom arbetar utifrån ett GRCperspektiv, det står för Governance, Risk och Compliance. Governance står för styrning av IT- och informationssäkerhet, medan compliance står för regelefterlevnad. Syftet är att styra riskhanteringen och genom regelverk (bl.a. styrdokument) och kontroller säkerställa den krävda nivån för verksamhets- och affärsmål.
– Det finns så många fördelar för organisationer att integrera ett tydligt verksamhetsperspektiv i sitt IT-säkerhetsarbete. Inte minst bidrar det till ökad effektivitet och professionell mognadsutveckling och stärker organisationen. Det behöver inte vara svårt, grundläggande är ordning och reda för att uppnå både rätt kvalitet och rätt säkerhet, standardiserade processer bidrar till att vi styr utfallet av tjänsterna som produceras, säger Lars Eriksson