Från Ledningssystem till säkra applikationer

I samband med Mjukvarukrafts månadsmöte för mars genomförde säkerhetsexperten Björn Bengtsson, 2bSec, en föreläsning på temat ”Från Ledningssystem till säkra applikationer”. Bakgrunden är självklar: fokus på säkerhet rent allmänt och informationssäkerhet i synnerhet är idag något som krävs av alla verksamheter, inte minst IT-företag som Mjukvarukraft. Hotbilden består bl.a. av ständiga intrångsförsök för alla som är anslutna till internet där motiven är att komma åt information, använda resurser för illegala ändamål, tjäna pengar genom ”ransomware” och allmän skadegörelse.

För att öka säkerheten krävs enligt Björn att företag och individer först blir medvetna om de många risker som finns och att man bygger ”en kultur” som bygger på insikt och kunskap om de åtgärder som är möjliga för att minimera verksamhetsrisk och för att reducera risken för komprometterad IT-säkerhet. Förståelsen för att Informations- och IT-säkerhet är värdeskapande måste bli bättre rent allmänt.

Image may contain: one or more people, screen and indoor

Fokus på informationsklassning, förstärkt styrning av åtkomst genom tvåfaktorsautentisering, och säker lagring, loggning, säkra konfigurationer, uppdaterade virusverktyg, ökad förståelse för betydelsen av integritet, tillit, säker hantering av skyddsvärd information för att nämna några av många viktiga åtgärder.

En kortfattad och övergripande sammanfattning av nödvändiga och grundläggande åtgärder listas här:

  • Gör säkerhet till en ledningsfråga
  • Direktiv från styrelse -> ledning -> medarbetare
  • Kommunicera säkerhetens betydelse för verksamheten
  • Identifiera Regelverket och regulatoriska krav
  • Ta fram informations-säkerhetspolicy
  • Upprätta LIS, Ledningssystem för informationssäkerhet
    • Ta fram riktlinjer, instruktioner, metoder, processer och rutiner
    • Klassificera informationstillgångar -> Skyddsvärde (K, R, T, S)
  • Koppla säkerhetsåtgärder till skyddsvärde
    • Implementera tekniska säkerhetsåtgärder -> CIS Controls
  • Anpassa processer och arbetssätt så att informationssäkerhet blir en naturlig del av det löpande arbetet
  • Utbildning och information till alla medarbetare

Anders Kingstedt, VD: ”- För oss på Mjukvarukraft är det givetvis helt avgörande för vår egen verksamhet men också för våra kunder att vi utrustar oss med de verktyg och den kunskap som krävs inom detta viktiga område. Även om vi har byggt en del kunskap inom ramen för uppdrag relaterat till EU:s nya dataskyddsförordning (GDPR), så finns det utrymme för många förbättringar vad gäller säkerhet. Att leverera IT-lösningar med  ’Privacy by Design’ är ju en del i GDPR, men det finns mycket annat som måste till för att leverera säkra och trygga lösningar, inte minst en trygg och säker informations- och kontinuitetshantering.

Björn avslutar med följande visdomsord: ”- Säkerhet måste bli en ledningsfråga i större utsträckning än vad som är fallet idag. Vi måste alla och envar börja ta vårt ansvar avseende informations- och IT-säkerhet på allvar så att säker informationshantering blir en naturlig del av det dagliga arbetet”.

Image may contain: 7 people, people smiling, people sitting and indoor