Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Alla organisationer behöver en policy för informationssäkerhet, eller hur? Idag präglas dock många sådana policys av röriga och förutsägbara checklistor som man enkelt kan hitta genom en sökning på Google. Tillsammans med standardmallar fyllda med teknisk och juridisk jargong kan detta nästan garantera att få personer i organisationen kommer att ta till sig innehållet.
Lyckligtvis inser allt fler informationssäkerhetschefer, CISO:er, att en policy för informationssäkerhet inte bara är ett verktyg för försäljning eller för att klara av revisioner. Insikten att en välskriven och genomarbetad policy kan bidra till att etablera goda arbetssätt, skärpa attityder till säkerhet och tillföra verkligt affärsvärde har börjat få fäste.
Målet – en kort och effektiv policy
Redan att samla in underlaget som krävs kan vara en utmaning. I min egen organisation har vi tidigare flera olika policys, bland annat till följd av tidigare företagsförvärv och sammanslagningar. Jag misstänker att vi inte är ensamma. Olika policys anpassade till standarder som ISO 27001, på bra men sinsemellan olika sätt. Olika delar av ett företag kan ha sina egna certifieringar som bidrar till komplexiteten. Men målet måste vara en kort och effektiv policy för hela företagets informationssäkerhet och som matchar verksamhetens processer och övergripande strategi. Den behöver också ge tydliga anvisningar om vilka resultat som avses och hur de ska uppnås. Gärna anpassat efter organisationens olika avdelningar och riskbeteenden. Ett exempel är att de som arbetar med forskning och utveckling kan behöva kunna experimentera med ny teknik i högre utsträckning än andra i företaget. Då ska detta tydliggöras i policyn.
Företagets ramverk för informationssäkerhet, grundläggande säkerhetspolicy och dokumentation rörande säkerhet måste gälla för alla. Policyn för informationssäkerhet ska innehålla tydliga anvisningar om vart man ska vända sig om incidenter inträffar och vilka experter som finns tillgängliga. Den ska även ange vilken utbildning som erbjuds, hur information kan spridas och hur eskalerande situationer bör hanteras.
En lösning passar inte alla
När vi utformade vår nya informationssäkerhetspolicy insåg vi följande viktiga punkter:
- Praktiska beskrivningar gör policyn levande: En policy måste visa hur en organisation uppfyller lagar och regler, och följer standarder. Genom att inkludera praktiska anvisningar och beskriva kopplingar till processer och arbetssätt på ett lättförståeligt sätt blir texten mer engagerande.
- Anpassning för olika behov: Det finns inte en lösning som passar alla. Vilka beskrivningar i policyn som är lämpliga beror på läsarens kunskap och arbetsområden. En policy som är organiserad i olika, sökbara delar underlättar mycket.
- Ge dokumentationen liv: Policyn behöver naturligtvis uppdateras när omständigheter förändras, på ett sätt som tillåter kontinuerlig förbättring. Till exempel bör den anpassas till den ökande användningen av AI. Tips: förklara varför ert företag begränsar åtkomsten till osäkra AI-verktyg.
- Underlätta innovation: En policy för informationssäkerhet innehåller information om vad medarbetare får och inte får göra. Men det är viktigt att en CISO också gör det lättare för alla att kunna utnyttja nya och värdeskapande tekniklösningar. Alla verksamheter bör kunna automatisera sitt arbete så långt det går, vilket minskar risken för mänskliga fel och ökar säkerheten. Detta bör även förklaras i informationssäkerhetspolicyn.
Sammanfattningsvis är ert policydokument för säkerhet inte bara till för att uppfylla regulatoriska krav, utan kan också vara ett kraftfullt verktyg för ökad konkurrenskraft och verksamhetsnytta. Det är hög tid för många företag att damma av och uppdatera sin policy för informationssäkerhet. Är det dags även för ert företag?