• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Ett ledningssystem är ett ledningssystem är ett ledningssystem

-

Det finns ca 1 000 000 företag i Sverige (källa: Bolagsverket 2018-12-10). 95 av dem, om jag läst siffrorna rätt, har ett ISO 27000 certifikat – ett certifikat som garanterar att du har ett ledningssystem för informationssäkerhet enligt standard. I Europa finns långt fler företag och summan totalt för antalet certifikat just nu är lite mer än 31 000 (källa: The ISO Survey of Management System Standard Certifications 2018).

Men frågan är. Varför är antalet certifikathållare så lågt bland företagen? Och hur kan det vara så viktigt med certifiering om så få har det?

En möjlig förklaring

Jag är förespråkare av ordning och reda, ett systematiskt arbete med informationssäkerhet kräver systematik i processer och struktur. Ett ledningssystem kan mycket väl vara svaret på utmaningarna kring informationssäkerhet idag. Så vad missar man? Varför har då inte fler just ISO. Det är helt enkelt en dinosaurie på den digitala stäppen. Ramverket och standarderna är väldigt byråkratiskt formulerade. En certifieringsprocess tar dessutom tid. Den som läser igenom de kompendier med skallkrav, riktlinjer mm finner, om personen inte somnat efter första sidorna, att även om 27 000 har som ambition att fokusera på att göra säkerhet med individen i fokus så är verkligheten en helt annan. ISO är dokumentcentrerat, byråkratiskt och blir lätt en digital pappersprodukt. Detta är den bild jag fått under dessa massa år i branschen och de många kommentarer från de som anser sig veta, de som gått igenom processen och de som är mitt i det. Notera nu att jag ännu inte berört vad nyttan är, vad själva vinsten är. Det jag pratar om är hur det tas emot och anses – byråkratiskt och dokumentcentriskt.

Vad är nyttan då?

Många kan säga vad de vill nu. Men ett arbete med informationssäkerhet är i grunden 5 saker: Identifiera, skydda, upptäcka, agera och återställa (NIST). Det är enkelt summerat vad själva arbetet går ut på. Men vad som missas är varför och för vem. Inte ens ISO fokuserar på detta. Inte tydligt i alla fall. Ett ledningssystem är som en säkerhetsansvarig, en stödfunktion. Men här är skillnaden. Vi stödjer företagets huvudsyfte för sin existens – tjäna pengar på en produkt eller tjänst (väldigt förenklat). Den enskilt viktigaste tillgången ett företag har är sina anställda – individer. Alltså existerar så väl den ansvarige som ledningssystemet i huvudsak för dem. Utmaningen och fokus bör därför ligga på att kommunicera vad de vinner på att efterleva ett ramverk för ett ledningssystem, inte nödvändigtvis ha dokumentation enligt standard. Rätt logiskt när man tänker efter.

Jag kan garantera att trots att du kommunicerat ut både policy och ledningssystemets krav i organisationen, något som är ett krav enligt ISO 27000, så garanterar inte certifikatet att du gör säkerhet. Det garanterar inte ens att du har säkerhet. Certifikatet garanterar att en revisor funnit att du har en dokumentation av ditt ledningssystem som följer standard, inget mer.

Vidare är det anmärkningsvärt att MSB nyligen har deklarerat i relation till ledningssystem att man bör beakta ISO ramverk. BEAKTA. Vissa påstår att det i framtiden kommer bli ett skallkrav, att 27k är ett måste. Jag tror tvärtom. Beakta är en hänvisning vad det(ledningssystemet) kan se ut som. För alla verksamheter är unika och ett ramverk som upplevs som byråkratiskt och dokumentcentriskt kommer alltid få vika undan för verksamhetens existenssyften där säkerhetsspecialisten är en stödfunktion, ledningssystemet en hämmande process – en dinosaurie.

Så vad är det som det felar?

Om då ISO är något som ger 99% säkerhet (100% finns inte) och 100% dokumentation uppstår ett problem när konkurrenter har lika mycket säkerhet men 20% dokumentation. Oavsett rätt eller fel. Då är ju beslutet rätt uppenbart eller hur, om inget annat har ju historien visat på det. Klart det skall finnas dokumentation, och det finns det också. Men inte i den utsträckning som ISO kräver. Det är då det faller, det är då ISO blir ett byråkratiskt dokumentcentriskt ramverk som få har tid, lust eller ork med om det finns ett alternativ som levererar samma nivå av säkerhet men med mindre dokumentation som behöver kommuniceras ut.

Summerat

Jag vet att det hela låter extremt kritiskt mot just ISO. Vilket är något orättvist. Men, som jag skrev är jag i grunden för ett systematiskt arbete med säkerhetsfrågor och gärna i ett ramverk. Det borgar för just systematik. Men det får aldrig bli i absurdum. ISO är just det, ett byråkratiskt absurdum. Visst finns det mycket nyttigt i det, mycket är till och med bra. Men felet är att det inte kommuniceras ut i verksamheten och faller då på ett enkelt grepp – alla gör inte säkerhet. En annan punkt är att om process finns i verkligheten behöver inte alltid dokumenteras, ISO kräver detta. Låter det och ser ut som en anka så är det nog sjutton en anka. Jag behöver ingen dokumentation som även beskriver ankan. Dokumentationen blir bara ännu ett papper att kommunicera ut. Och byråkrati är svårt att kommunicera ut utan pedagogisk förmåga. Och ansvariga för ISO processen har inte tänkt på det, än mindre bemästrar de förmågan att kunna kommunicera ut mervärdet av ramverket – what´s in it for the people. Och får du inte med dig massan så är ramverket inget mer än ett byråkratiskt luftslott.

Robert Willborg, Junglemap

REKLAMSAMARBETE

Visste du detta om Ransomware?

Ransomware har blivit en alltmer akut fråga som berör företag i alla storlekar och ingen organisation är immun mot dess följder. Vad som kanske inte är lika känt är att Ransomware omfattar flera olika typer av attacker. Samtidigt fortsätter Ransomware-incidenter att utvecklas och anpassa sig till nya förhållanden. Från krypteringsbaserad Ransomware till dubbel och nu till och med trippel utpressning. Trots att vi har nått år 2024 är det många organisationer som fortfarande förlitar sig på föråldrade anti-ransomware-kontroller och tankesätt.

FLER NYHETER

30 miljoner till arbetet mot arbetslivskriminalitet

– Regeringen ser mycket allvarligt på det faktum att människor utnyttjas på den svenska arbetsmarknaden. Arbetslivskriminaliteten är en inkomstkälla för den kriminella ekonomin, gör...

REKLAMSAMARBETE

Cyberattacker kommer att hända igen – men effekterna kan begränsas

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.MSB har pekat på att Sverige måste bli bättre på att organisera samarbetet mellan...

REKLAMSAMARBETE

SSG lanserar cybersäkerhetschecklista att använda vid upphandlingar

SSG Leveranskontrakt är ett verktyg för att säkerställa säkra och välreglerade affärsprocesser inom industrin. Med det senaste tillskottet, en cybersäkerhetschecklista som kan användas vid...

C-Resiliens blir CR-Group

– Det går nästan inte att överskatta behovet av cybersäkerhet i samhället idag. Bakom namnet CR Group finns företag, individer och teknologier som dagligen...

REKLAMSAMARBETE

Addici Security rekryterar områdeschef

Johan Kihl har arbetat inom säkerhetsbranschen i över 25 år och kommer närmast från rollen som operation development manager.– På Addici Security &...

MSP:er, har ni tagit på er egen syrgasmask innan ni hjälper era kunder med it-säkerhet?

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.It-säkerhet är en komplex fråga och med tanke på större lagkrav, EU-direktiv, loggningskrav och...

Svenska företags beredskap mot cyberhot kritiseras i ny rapport

Under det senaste året har flera stora och uppmärksammade attacker vållat skada på såväl svenska företag, som störningar hos offentlig sektor, myndigheter och civilsamhälle,...

Ny boendesprinkler ska förhindra bostadsbränder

Andra förbättringar inkluderar en inbyggd batteribackup och en kommunikationsmodul som hanterar tekniska och skarpa larm som kan kopplas till olika larmsystem. Dessutom har installationen...

Regeringen kraftsamlar för att stoppa den kriminella ekonomin

De myndigheter som berörs är myndigheter med ansvar att ta in skatt, tull och obetalda skulder, regelefterlevnad på arbetsmarknaden, besluta om ersättningar och bidrag...

Nytt centrum för krigsspel vid Försvarshögskolan

– Genom att samla Försvarshögskolans verksamhet inom krigsspel kan vi skapa synergier och få ett större genomslag i den här snabbt växande sektorn, både...

Tele2 Samarbete ska förhindra att känslig data lämnar landet

En av de största fördelarna med Tele2 Samarbete är att all datahantering och lagring utförs i Sverige av en svensk leverantör, vilket ger digital...

Addsecure utökar ISO 27001-certifiering

ISO 27001-certifieringen är en internationellt erkänd standard som ger ett systematiskt tillvägagångssätt för att hantera känslig företagsinformation och säkerställa dess konfidentialitet, integritet och tillgänglighet...

Många företag överväger att lägga ned eller flytta verksamheten på grund av brottsligheten

Under de senaste åren har brottsligheten kommit att bli ett av de största hoten mot näringsfriheten i Sverige. Trots det har endast en tredjedel...

Sammanslagning ger nordisk expert på fallskydd

AAK Safety är en norsk leverantör av fallskydds- och räddningsutrustning. Bolaget säljer skräddarsydda fallskyddslösningar utformade för att rädda liv och förhindra olyckor inom branscher...