I kölvattnet av GDPR

2017-03-31

Våren är här och naturen är på väg att vakna till liv. Det är samma magiska känsla varje vår. För oss som har informations- och IT-säkerhet skrivet i pannan så är det samma känslor som väckts till liv tack vare, eller på grund av, Dataskyddsförordningen. En längtan efter ett strukturerat informationssäkerhetsarbete där skyddsåtgärderna står i relation till informationens skyddsvärde har nog aldrig haft en bättre katalysator än nu.

Under mina drygt 30 år i branschen tror jag inte att jag upplevt detta tydligare.  Det räcker att backa ett decennium för att konstatera att då väcktes en euforisk känsla till liv varje gång det fanns spår av en IT-säkerhetsrelaterad insats till informationens faktiska skyddsvärde.  Ofta var det en entusiast, inte sällan tekniskt intresserad, som på eget bevåg applicerade skyddsåtgärder efter tycke och smak. Den eran är långt ifrån över, och det ska sägas att insatserna var mer rätt än fel, men trenden är tydlig att det hör historien till.

Ett annat starkt minne från den tidigare eran var när jag fick slängt i ansiktet, från en större politisk styrd organisation, att informationssäkerhet vinner man inte några val på. Det kanske var rätt då,  men historien kommer ikapp rätt kvickt. 2006 förlorade Liberalerna (då Folkpartiet) var 7:e väljare när de inte kunde låta bli att logga in i Socialdemokraternas FirstClass med SIGGE/SIGGE (se krönikan från 2006 https://certezza.net/en-orovackande-handelse/). Jag undrar också hur valutgången i USA hade blivit om Hillary Clinton och det demokratiska partiet hade varit lite mer aktsam i sin informationshantering. Kanske hade vågen tippat över till hennes fördel.

Nu, med ett år kvar till att personuppgifter förväntas behandlas i enlighet med förordningen, så puttrar det av aktivitet i snart varje vrå. Nu handlar insatserna mer om att försöka rikta energi i rätt riktning. Det känns föga rätt att låta arbetet med att leva upp till förordningen ske parallellt med sedvanligt informationssäkerhetsarbete. Förordningen är ju bara ytterligare regulatoriska krav bland flera andra som ska beaktas i kravställning på informationstillgångar.

I ett strukturerat informations- och IT-säkerhetsarbete är detta nästintill en icke-fråga. Om ni är en organisation som inte riktigt känner att det strukturerade arbetet är på plats, så är ni för det första inte ensamma, och för det andra är detta ett ypperligt tillfälle för er att äntligen få igång informationssäkerhetsarbetet.

Dataskyddsförordningen ställer krav på att all behandling inventeras, på vilka grunder behandlingen görs, vad som behandlas o.s.v. Steget är verkligen inte långt till att klassificera informationsmängden och låta riskanalysen inte bara begränsas till behandlingen av personuppgifter. Att sedan kunna tillämpa resultatet i någon form av säkerhetsarkitektur gör också att ni samtidigt kan visa att ni för ändamålet, typen av behandlingen och med hänsyn till riskerna har rätt nivå av datasäkerhet.

Jag vill påstå att det nästan är en konst att inte ha implementerat början till ett ledningssystem för informationssäkerhet inom ramarna för att ni ser över er personuppgiftsbehandling, och därmed också säkerställer att ni tål dagens ljus även efter den 25 maj 2018.

Vägen till framgång är att våga göra det enkelt. Rom byggdes som bekant inte på en dag och en elefant styckas även fortsatt i hanterliga bitar. Konststycket är att väva in detta i den ordinarie verksamheten och säkerställa att det inte bara blir en engångsinsats.