• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Ett ledningssystem är ett ledningssystem är ett ledningssystem

-

Det finns ca 1 000 000 företag i Sverige (källa: Bolagsverket 2018-12-10). 95 av dem, om jag läst siffrorna rätt, har ett ISO 27000 certifikat – ett certifikat som garanterar att du har ett ledningssystem för informationssäkerhet enligt standard. I Europa finns långt fler företag och summan totalt för antalet certifikat just nu är lite mer än 31 000 (källa: The ISO Survey of Management System Standard Certifications 2018).

Men frågan är. Varför är antalet certifikathållare så lågt bland företagen? Och hur kan det vara så viktigt med certifiering om så få har det?

En möjlig förklaring

Jag är förespråkare av ordning och reda, ett systematiskt arbete med informationssäkerhet kräver systematik i processer och struktur. Ett ledningssystem kan mycket väl vara svaret på utmaningarna kring informationssäkerhet idag. Så vad missar man? Varför har då inte fler just ISO. Det är helt enkelt en dinosaurie på den digitala stäppen. Ramverket och standarderna är väldigt byråkratiskt formulerade. En certifieringsprocess tar dessutom tid. Den som läser igenom de kompendier med skallkrav, riktlinjer mm finner, om personen inte somnat efter första sidorna, att även om 27 000 har som ambition att fokusera på att göra säkerhet med individen i fokus så är verkligheten en helt annan. ISO är dokumentcentrerat, byråkratiskt och blir lätt en digital pappersprodukt. Detta är den bild jag fått under dessa massa år i branschen och de många kommentarer från de som anser sig veta, de som gått igenom processen och de som är mitt i det. Notera nu att jag ännu inte berört vad nyttan är, vad själva vinsten är. Det jag pratar om är hur det tas emot och anses – byråkratiskt och dokumentcentriskt.

Vad är nyttan då?

Många kan säga vad de vill nu. Men ett arbete med informationssäkerhet är i grunden 5 saker: Identifiera, skydda, upptäcka, agera och återställa (NIST). Det är enkelt summerat vad själva arbetet går ut på. Men vad som missas är varför och för vem. Inte ens ISO fokuserar på detta. Inte tydligt i alla fall. Ett ledningssystem är som en säkerhetsansvarig, en stödfunktion. Men här är skillnaden. Vi stödjer företagets huvudsyfte för sin existens – tjäna pengar på en produkt eller tjänst (väldigt förenklat). Den enskilt viktigaste tillgången ett företag har är sina anställda – individer. Alltså existerar så väl den ansvarige som ledningssystemet i huvudsak för dem. Utmaningen och fokus bör därför ligga på att kommunicera vad de vinner på att efterleva ett ramverk för ett ledningssystem, inte nödvändigtvis ha dokumentation enligt standard. Rätt logiskt när man tänker efter.

Jag kan garantera att trots att du kommunicerat ut både policy och ledningssystemets krav i organisationen, något som är ett krav enligt ISO 27000, så garanterar inte certifikatet att du gör säkerhet. Det garanterar inte ens att du har säkerhet. Certifikatet garanterar att en revisor funnit att du har en dokumentation av ditt ledningssystem som följer standard, inget mer.

Vidare är det anmärkningsvärt att MSB nyligen har deklarerat i relation till ledningssystem att man bör beakta ISO ramverk. BEAKTA. Vissa påstår att det i framtiden kommer bli ett skallkrav, att 27k är ett måste. Jag tror tvärtom. Beakta är en hänvisning vad det(ledningssystemet) kan se ut som. För alla verksamheter är unika och ett ramverk som upplevs som byråkratiskt och dokumentcentriskt kommer alltid få vika undan för verksamhetens existenssyften där säkerhetsspecialisten är en stödfunktion, ledningssystemet en hämmande process – en dinosaurie.

Så vad är det som det felar?

Om då ISO är något som ger 99% säkerhet (100% finns inte) och 100% dokumentation uppstår ett problem när konkurrenter har lika mycket säkerhet men 20% dokumentation. Oavsett rätt eller fel. Då är ju beslutet rätt uppenbart eller hur, om inget annat har ju historien visat på det. Klart det skall finnas dokumentation, och det finns det också. Men inte i den utsträckning som ISO kräver. Det är då det faller, det är då ISO blir ett byråkratiskt dokumentcentriskt ramverk som få har tid, lust eller ork med om det finns ett alternativ som levererar samma nivå av säkerhet men med mindre dokumentation som behöver kommuniceras ut.

Summerat

Jag vet att det hela låter extremt kritiskt mot just ISO. Vilket är något orättvist. Men, som jag skrev är jag i grunden för ett systematiskt arbete med säkerhetsfrågor och gärna i ett ramverk. Det borgar för just systematik. Men det får aldrig bli i absurdum. ISO är just det, ett byråkratiskt absurdum. Visst finns det mycket nyttigt i det, mycket är till och med bra. Men felet är att det inte kommuniceras ut i verksamheten och faller då på ett enkelt grepp – alla gör inte säkerhet. En annan punkt är att om process finns i verkligheten behöver inte alltid dokumenteras, ISO kräver detta. Låter det och ser ut som en anka så är det nog sjutton en anka. Jag behöver ingen dokumentation som även beskriver ankan. Dokumentationen blir bara ännu ett papper att kommunicera ut. Och byråkrati är svårt att kommunicera ut utan pedagogisk förmåga. Och ansvariga för ISO processen har inte tänkt på det, än mindre bemästrar de förmågan att kunna kommunicera ut mervärdet av ramverket – what´s in it for the people. Och får du inte med dig massan så är ramverket inget mer än ett byråkratiskt luftslott.

Robert Willborg, Junglemap

REKLAMSAMARBETE

Hög tid att komma i gång med utbildning i cybersäkerhet

Cyberattackerna slår mot alla typer av företag och organisationer. Med hjälp av AI blir dessutom attackerna både fler och svårare att upptäcka. Och även...

FLER NYHETER

Ny utbildning ska öka kommuners beredskap mot välfärdsbrottslighet

Under senare år har välfärdsbrott riktade mot kommuner och regioner börjat uppmärksammas i allt större utsträckning. Fortfarande är kunskapen om välfärdsbrott ganska låg och...

REKLAMSAMARBETE

Så kan säkerhetsövervakning bidra till ökad cybersäkerhet

Riskanalys och säkerhetsövervakning av kritiska system ökar cybersäkerheten och säkrar energiförsörjningen i skarpt läge. Samhället är i dag helt beroende av bibehållen tillgänglighet från...

Han blir ny CFO på Avarn Security i Sverige

– Jag välkomnar Fredrik till Avarn och är övertygad om att hans gedigna erfarenheter inom området kommer att stärka vår fortsatta resa mot att...

REKLAMSAMARBETE

6 Reasons to choose Milestone XProtect

In today’s dynamic world, basic video recording barely scratches the surface of what your security system needs. You require a vigilant security posture, capable...

Åtgärdslista för att stoppa illegala sprängningar lämnad till regeringen

Några av förslagen har kunnat omhändertas direkt inom ramen för någon av myndigheternas uppdrag. Totalt har fem arbetsgrupper tagit fram förslag på åtgärder som...

C: Det privata näringslivet måste inkluderas i satsningar på cybersäkerhet

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.Centerpartiet har länge önskat ökad finansiering och efterlevelse av lagstiftning inom cyberområdet. Vi är...

REKLAMSAMARBETE

”Vi delar syfte – stärka Sveriges förmåga att hantera komplexa säkerhetsutmaningar”

Hallå där Pernilla Hörnfeldt, Mötesplats Samhällssäkerhet, i år är ni med som sponsor av Säkerhetsgalan som går av stapeln den 30 september i Stockholm...

UNDERSÖKNING: 90 procent av företag i Europa utsattes för cybersäkerhetsincidenter som NIS2 kunde ha förhindrat

Verksamheter navigerar i ett landskap av blandade inställningar när verkställighetsdatumet för nätverks- och informationssäkerhetsdirektivet 2022/2555 (NIS2) närmar sig. NIS2, en förordning som syftar till...

Borås stärker det brottsförebyggande arbetet

I juli förra året infördes en ny lag som ger kommuner ett större brottsförebyggande ansvar. Lagen innebär att landets kommuner ska skaffa sig en...

Conscia tillsätter ny affärsområdeschef för cybersäkerhet

– Octavio har en unik kombination av teoretisk förståelse kring regulatoriska krav och processer, tillika djup teknisk kompetens. Tillsammans med en vilja att göra verklig...

Kriminalvården förnyar rikstäckande ramavtal med Bravida för teletekniska säkerhetslösningar

– Vi är stolta över att vi har fått fortsatt förtroende från Kriminalvården att vara med och bidra till en säkrare miljö genom leverans...

Securitas Technology har tillsatt ny vd

Anne Haaber-Bernth kommer senast från Iver Management. På Securitas Technology kommer hon ha ett övergripande ansvar för hela den svenska verksamheten."Annes gedigna erfarenhet av...

Han blir ny generaldirektör för Integritetsskyddsmyndigheten

Eric Leijonram är för närvarande chefsjurist på Finansinspektionen. Han har en bakgrund från bland annat domstol, Regeringskansliet och Kriminalvården. Utöver detta har Eric Leijonram...

Säkerhetsgalan bjöd på allvar, kunskap, nätverkande och fest!

Årets Säkerhetsgala levererade en eftermiddag med mycket allvar när man tog sikte på säkerhet i världen, Europa och Sverige och hur vi i Sverige...

Årets Säkerhetsprofil 2024: Hanna Linderstål

Säkerhetsgalan drog fullt hus under måndagen och Hanna Linderstål rev ner applåder när hennes namn dök upp på skärmen på Vasateaterns scen i samband...

Margarita Sallinen och Linda Nieminen utses till Framtidens säkerhetstalanger

Motiveringen lyder:Framtidens Säkerhetstalang 2024 är inte EN person, utan TVÅ exceptionella personer, som tillsammans bidrar till att öka allmänhetens medvetenhet om cybersäkerhet. Genom den populära podcasten ”Cyber Chats...

Cybercampus Sverige och Rise lanserar Cyberlyftet

Cyberlyftet är utformad som en grundläggande introduktion i cybersäkerhet, oavsett bakgrund och yrke. – Vi har alla lärt oss känna igen konsekvenserna när säkerheten brister....