Nyhet -
Sourcecom berättar om IT-säkerhet i SvD
Beroendet av IT i vårt samhälle är betydligt större än förståelsen av det. IT är en verksamhetskritisk
faktor i nästan alla organisationer. En medvetenhet kring vilka IT-baserade funktioner som
verksamheten är beroende av är därför avgörande för att kunna planera effektiva säkerhetsinsatser.
En strategisk riskmedvetenhet som är väl förankrad i organisationens övergripande
verksamhetsmål ger en förståelse som sträcker sig från ledningsnivå ner till teknikernivå.
– Vi hjälper våra kunder att förstå och agera på de faktorer som riskerar att hindra verksamheten från
att nå sina mål. T.ex. genomför vi workshops där verksamhetsföreträdare tillsammans med deltagare
från IT delar med sig av varandras perspektiv och uppnår en samsyn på kritiska funktioner och risker.
Vi bistår i analysarbetet som utmynnar i en avstämd, rätt säkerhetsnivå. Det gör att våra kunder kan
lägga resurserna på rätt insatser och fatta beslut om åtgärder som verkligen fyller sitt syfte, säger
Lars Eriksson, riskkonsult på Sourcecom med cirka tjugo års erfarenhet som Informations- och IT-säkerhetsspecialist.
Förflyttar fokus från tekniska lösningar till strategisk riskhantering
Han menar att IT-säkerhetsbranschen traditionellt sett fokuserat för mycket på tekniska lösningar och
alltför lite på kärnfrågan; en gedigen analys av vilka funktioner som behöver skyddas och presumtiva
risker kopplade till dessa. Ett verksamhetsstyrt säkerhetsarbete bygger på en nära dialog och samstämmighet
mellan verksamhetsledning och IT.
– Vi genomför bland annat GAP-analyser som, med hjälp av interna djupintervjuer kombinerat med
tekniska granskningar, kartlägger befintliga brister i säkerhetsarbetet. Vi utgår från kundens egna
styrdokument samt best practice dvs. ISO 27000-serien. Analysen sätter fingret på de faktorer som
är mest kritiska för att verksamheten ska kunna bedrivas på ett säkert ändamålsenligt sätt, exempelvis
hantering av behörigheter och ändringshantering (Change Management). Både verksamhets- och
IT-ansvariga är engagerade och delaktiga, säger Lars Eriksson.
Synkronisera IT-säkerhetsarbetet med verksamhetens övergripande utveckling
När förståelsen för IT- och verksamhetsrisker ökar kan ledningen göra mer korrekta och ändamålsenliga
kravställningar till IT-avdelningen/IT-tjänsteleverantören. Sourcecom arbetar utifrån ett GRCperspektiv,
det står för Governance, Risk och Compliance. Governance
står för styrning av IT- och informationssäkerhet, medan compliance står
för regelefterlevnad. Syftet är att styra riskhanteringen och genom regelverk
(bl.a. styrdokument) och kontroller säkerställa den krävda nivån för
verksamhets- och affärsmål.
– Det finns så många fördelar för organisationer att integrera ett tydligt
verksamhetsperspektiv i sitt IT-säkerhetsarbete. Inte minst bidrar det till
ökad effektivitet och professionell mognadsutveckling och stärker organisationen.
Det behöver inte vara svårt, grundläggande är ordning och
reda för att uppnå både rätt kvalitet och rätt säkerhet, standardiserade
processer bidrar till att vi styr utfallet av tjänsterna som produceras, säger Lars Eriksson
Ämnen
- Konsultverksamhet
Kategorier
- staffan magnusson
- sourcecom
- nätverk
- kommunikationslösningar
- it-säkerhet
Regioner
- Gävleborg