– Den tekniska sidan hos våra kunder har vi jobbat med länge, men nu stärker vi upp också med kompetens att möta ledningens behov hos våra kunder. Informationssäkerhet är i grunden en ledningsfråga och vi vill därför bistå genom att ta ett bredare grepp och förstå kundernas hotbild och den information de hanterar för att skapa rätt säkerhetsåtgärder med större precision. Vi kan med den nya satsningen bistå med och driva frågor kring alltifrån styrdokument, policys och riktlinjer till säkerhetsutbildningar, säger Niclas Appelgren, konsultchef på It-Total.
Till det nya kompetensområdet har IT-Total rekryterat tre konsulter med mångårig erfarenhet från informationssäkerhetsområdet – Gamze Zengin, Helene Neuss och Linnéa Camén.
– Det finns ingen organisation som har råd att täcka alla potentiella risker, vilket betyder att man måste prioritera de risker som troligast kan påverka företaget eller organisationen. Likaså måste man bedöma vad det kan kosta om åtgärder saknas. Här kan vi som informationssäkerhetskonsulter hjälpa till, inte bara med kalkyler utan också med regulatoriska krav och att skapa systematik kring arbetet med informationssäkerhet, säger Gamze Zengin.
– Arbetar organisationen med systematiskt informationssäkerhetsarbete blir man inte bara medveten om riskerna, utan man börjar också fatta riskbaserade beslut. Man kan värdera risken och sannolikheten att vissa scenarier ska inträffa och utifrån det besluta att ta eller avstå kostnaden för en specifik risk. Vi ger ledningsgrupper de verktyg de behöver för att fatta de medvetna val som informationssäkerhetsarbetet syftar till, säger Helene Neuss
Det är ledningen som är ytterst ansvarig för det systematiska informationssäkerhetsarbetet i organisationen. Och en viktig roll för att säkerställa att ledningen är informerad om hur det arbetet utvecklas är CISO (chief information security officer). CISO är en person som står oberoende från ledningen, men som har till uppgift att driva på arbetet med informationssäkerheten och skapa kontinuitet. Exempelvis genom att se till att det finns ett ledningssystem som ISO 27001 på plats.
– Alla organisationer har inte resurser att ha denna roll internt då den ofta inte är en heltidstjänst. Dessutom är det en stor brist på den typen av kompetens, vilket gör att det är en roll som vi som informationssäkerhetskonsulter kan axla så att säkerhetsarbetet kontinuerligt drivs framåt. Som CISO jobbar man också mycket med kunskapsöverföring till organisationens verksamhetsansvariga, säger Linnéa Camén.
