• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Så ger policyn för informationssäkerhet varaktig nytta i er verksamhet

En policy för informationssäkerhet ska inte bara vara ett sätt att uppfylla regulatoriska krav. Om den är skriven på ett lättbegripligt sätt och anpassad till olika omständigheter inom företagets organisation kan den även bidra till er konkurrensförmåga och verksamhetsnytta. För att uppnå detta måste policyn peka ut detta och visa hur det ska gå till, skriver Tom Ascroft, CISO på Unit4.

-

Lyckligtvis inser allt fler informationssäkerhetschefer, CISO:er, att en policy för informationssäkerhet inte bara är ett verktyg för försäljning eller för att klara av revisioner. Insikten att en välskriven och genomarbetad policy kan bidra till att etablera goda arbetssätt, skärpa attityder till säkerhet och tillföra verkligt affärsvärde har börjat få fäste.

Målet – en kort och effektiv policy

Redan att samla in underlaget som krävs kan vara en utmaning. I min egen organisation har vi tidigare flera olika policys, bland annat till följd av tidigare företagsförvärv och sammanslagningar. Jag misstänker att vi inte är ensamma. Olika policys anpassade till standarder som ISO 27001, på bra men sinsemellan olika sätt. Olika delar av ett företag kan ha sina egna certifieringar som bidrar till komplexiteten. Men målet måste vara en kort och effektiv policy för hela företagets informationssäkerhet och som matchar verksamhetens processer och övergripande strategi. Den behöver också ge tydliga anvisningar om vilka resultat som avses och hur de ska uppnås. Gärna anpassat efter organisationens olika avdelningar och riskbeteenden. Ett exempel är att de som arbetar med forskning och utveckling kan behöva kunna experimentera med ny teknik i högre utsträckning än andra i företaget. Då ska detta tydliggöras i policyn.

Företagets ramverk för informationssäkerhet, grundläggande säkerhetspolicy och dokumentation rörande säkerhet måste gälla för alla. Policyn för informationssäkerhet ska innehålla tydliga anvisningar om vart man ska vända sig om incidenter inträffar och vilka experter som finns tillgängliga. Den ska även ange vilken utbildning som erbjuds, hur information kan spridas och hur eskalerande situationer bör hanteras.

En lösning passar inte alla

När vi utformade vår nya informationssäkerhetspolicy insåg vi följande viktiga punkter:

  • Praktiska beskrivningar gör policyn levande: En policy måste visa hur en organisation uppfyller lagar och regler, och följer standarder. Genom att inkludera praktiska anvisningar och beskriva kopplingar till processer och arbetssätt på ett lättförståeligt sätt blir texten mer engagerande.
  • Anpassning för olika behov: Det finns inte en lösning som passar alla. Vilka beskrivningar i policyn som är lämpliga beror på läsarens kunskap och arbetsområden. En policy som är organiserad i olika, sökbara delar underlättar mycket.
  • Ge dokumentationen liv: Policyn behöver naturligtvis uppdateras när omständigheter förändras, på ett sätt som tillåter kontinuerlig förbättring. Till exempel bör den anpassas till den ökande användningen av AI. Tips: förklara varför ert företag begränsar åtkomsten till osäkra AI-verktyg.
  • Underlätta innovation: En policy för informationssäkerhet innehåller information om vad medarbetare får och inte får göra. Men det är viktigt att en CISO också gör det lättare för alla att kunna utnyttja nya och värdeskapande tekniklösningar. Alla verksamheter bör kunna automatisera sitt arbete så långt det går, vilket minskar risken för mänskliga fel och ökar säkerheten. Detta bör även förklaras i informationssäkerhetspolicyn.
Tom Ascroft, Unit4

REKLAMSAMARBETE

Kurs i NIS2 förbereder företag för kommande cybersäkerhetskrav

Från tisdag till torsdag vecka 6 och vecka 11 erbjuds två tredagars distanskurser med fokus på det kommande NIS2-direktivet, som väntas bli lag i...

FLER NYHETER

SBSC anställer ny kundansvarig

– Med den här tjänsten stärker vi vår förmåga att arbeta nära våra kunder och säkerställa att vi fortsätter leverera lösningar som skapar värde...

REKLAMSAMARBETE

6 Reasons to choose Milestone XProtect

In today’s dynamic world, basic video recording barely scratches the surface of what your security system needs. You require a vigilant security posture, capable...

Stöldskyddsföreningen presenterar rapport om dagens och morgondagens brottsutveckling

Rapporten Den Kriminella Spelplanen togs fram som en karta för att bättre hjälpa att förstå det kriminella landskapet i vardagen samt hur moderna kriminella strukturer...

REKLAMSAMARBETE

”Vi delar syfte – stärka Sveriges förmåga att hantera komplexa säkerhetsutmaningar”

Hallå där Pernilla Hörnfeldt, Mötesplats Samhällssäkerhet, i år är ni med som sponsor av Säkerhetsgalan som går av stapeln den 30 september i Stockholm...

Ny webbutbildning ska hjälpa vägarbetare hantera hot och våld

I vägarbetares arbetsmiljö är det vanligt med hot från privatbilister, yrkeschaufförer och även andra förbipasserande. Webbutbildningen Trygg väg är framtagen i samverkan med Byggföretagen...

SL slår tygghetsrekord

Även säkerheten ökar 2024 – för andra året i rad skedde färre olyckor med allvarliga skador och dödsfall i kollektivtrafiken.– Att kollektivtrafiken upplevs som...

REKLAMSAMARBETE

Säkerhet i världen, Europa och Sverige

Registreringen till Säkerhetsgalan slår upp dörrarna klockan tolv och sedan öppnas galan klockan 13 av värden Eva Hamilton. - När jag för första gången ledde...

Isländskt företag erbjuder hackerdriven cybersäkerhetslösning på den svenska marknaden

Som ansvarig för företagets globala strategi har man tillsatt cybersäkerhetsexperten David Jacoby, med över trettio års erfarenhet av cybersäkerhet globalt och i Sverige.– Det...

MSB-beslut om att neka skyddat tecken för civilt försvar överklagas

Ansökan, som lämnades in i september 2023, syftade till att personal som verkar som civilförsvarspersonal skulle få rätt att använda det skyddade kännetecknet för...

Truesec släpper rapport som pekar på viktiga cybertrender och nya hot

– Med tanke på hur hotlandskapet ser ut och den geopolitiska situationen, är cyberrisker ett fokus för alla typer av organisationer. Vårt uppdrag är...

Nationella riktlinjer för användningen av generativ AI inom offentlig förvaltning lanseras

– Användningen av generativ AI behöver öka inom offentlig förvaltning, annars riskerar vi vår välfärd på sikt, säger Mats Snäll, uppdragsledare och senior rådgivare på...

RAPPORT: Cyberkriminella säljer tjänster och samarbetar alltmer globalt

– Resultaten från rapporten är viktiga för företagsledare eftersom de lyfter fram kritiska förändringar i hotlandskapet som direkt påverkar organisatorisk riskhantering, operativ kontinuitet och...

Malta-konferens bjöd på de senaste tekniska innovationerna

Proxy SQLBland annat presenterade Jesmar Cannaò sitt företag Proxy SQL, vilket startades 2013 som ett sidoprojekt av hans bror, grundaren René Cannaò, men snabbt...

Nordiskt projekt ska utforska möjligheterna att utveckla en global arktisk fiberkabel

I dag passerar 90 procent av all datakommunikation mellan Europa och Asien genom Röda havet, en rutt som alltmer påverkas av geopolitiska utmaningar. Ambitionen...

Risk att vi sveps med i AI-hajpen och bortser från mänsklig kompetens

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Inom cybersäkerhet har AI länge varit ett kritiskt redskap, som också väntas bli alltmer...

Copiax tillsätter ny logistik- och fastighetschef

Lars Claesson har mer än 30 års erfarenhet inom supply-chain och logistik. Under den tiden har han arbetat både i strategiska och operativa roller...

Folkuniversitetet ny partner till Kriminalvården

Kriminalvården fördelar varje år pengar till ideella organisationer som främjar att dömda personer kan återanpassas till samhället. Under 2025 handlar det om totalt 35...