Visst, jag beskriver mig som en pragmatisk säkerhetsnörd, men jag kan ändå inte låta bli att bli överlycklig varje gång jag ser någon göra något reellt av sitt informationssäkerhetsarbete. Kanske beror det på att så många pappersprodukter passerat under åren. Revisorn verkar nöjd, en bock i kanten på att det finns en informationssäkerhetspolicy för organisationen, men i hur många fall gör det faktisk skillnad?
Det är så klart fel att säga att det inte gör någon nytta alls. Varje steg i rätt riktning är också ett steg. Men om en sträcka består av 2847 steg, vad spelar då ett steg för roll om det inte finns någon plan för de övriga 2846 stegen. Det ska visserligen tilläggas att om informationssäkerhetspolicyn är antagen av ledningen och den ger uttryck för ledningens vilja så erhålls inte bara ett, två eller tre extrakast utan så pass många extrakast att det finns en förutsättning att gå i mål. Men, om ledningen är ointresserad är det bara att lägga ner!
Resan fortsätter sedan normalt förbi en rad riktlinjer och vi närmar oss ett delmål i att se till informationens skyddsvärde och i någon form skatta detta värde. Informationsklassning och riskanalys är snart på var hens läppar. Inte minst i de sammanhang där det talas molntjänster. Mycket kan sägas om molntjänster, men ett faktum är att de har bidragit till att många organisationer fått ett ökat medvetande om informationssäkerhetsarbete.
Här kan den första kontrollfrågan ställas. Hur tillämpas resultatet av informationsklassningen och riskanalysen? Vad gäller riskanalysen, om den är någorlunda nyktert genomförd, så kan den oftast omsättas i praktisk handling bara lite vilja finns. Men vad händer med resultatet av informationsklassningen? Om det inte finns något svar på hur informationssäkerhetsarbetet ska omsättas i praktisk handling är det nog idé att lägga ner.
Det som glädjer mig mycket är att så många har kommit just till de insikter jag precis beskriver. Allt färre drar igång ett informationssäkerhetsarbete enbart för att tillfredsställa revisorn och få godkänt på en av revisorns kontrollfrågor. Insikten är betydligt mer långt gången. Allt fler jag möter funderar på det faktum att informations- och IT-säkerhetsarbetet måste hänga ihop. Fantastiskt! Vi är på rätt väg vågar jag påstå.
Jag blir ännu lyckligare när vi rör oss i diskussioner huruvida de kontroller som återfinns i exempelvis NIST SP800-53 kan vara en väg fram för att etablera den egna kontrollkatalogen. Bortsett från att jag tycker att NIST gör en hel del bra saker, och att deras standarder är allmänt tillgängliga till skillnad från många andras, så bara det faktum att allt fler funderar hur de ska strukturera och beskriva sina säkerhetskontroller gör att en euforisk känsla infinner sig.
Ett ytterligare sundhetstecken är när diskussionen kring kontrollkatalog, mönster, landskap och övriga komponenter i en säkerhetsarkitektur växer fram och inte minst omfamnar informationstillgångar som inte längre återfinns i vår egen (förhoppningsvis) trygga sfär. Insikten att en kontrollkatalog likväl kan fungera som en kravkatalog är en annan viktig milstolpe. Då är säkerhetsarkitekturen i det närmaste fulländad.
Fulländad tänker någon, blir något någonsin fulländat? Så klart inte! Men, att hitta metodiken för hur ett ledningssystem för informationssäkerhet (LIS) gör faktisk skillnad och att se hur resultatet växer fram genom att exempelvis varje informationstillgång över tid behandlas utifrån dess skyddsvärde är magiskt! Vägen dit är för många en prövning, fylld av tvivel, men resan är nödvändig för att kunna bemästra dagens och morgondagens säkerhetsutmaningar. Tiden då vi sköt från höften är för längesedan förbi. Tro mig!
Thomas Nilsson
