Aldrig tidigare har väl så många varit engagerade i informationssäkerhet. Engagemanget är på topp och nu skall vi göra skillnad. Alla som arbetat med IT-säkerhet en längre tid vet att det finns en gräns där det inte spelar någon större roll så länge vi har med användare att göra. Några hårdrar det så långt och konstaterar kort att finge vi bara slippa människan. Flertalet konstaterar dock lugnt att vi självklart måste hantera de mjuka delarna och arbetar metodiskt vidare.
Metodiken kring informationssäkerhet är väl standardiserad inom ramen för ISO 27000 familjen. Myndigheten för samhällsskydd och beredskap (MSB) tillsammans med myndigheter med särskilda uppgifter inom området informationssäkerhet (SAMFI) släppte i december 2011 ett bra och genomarbetat ramverk som underlättar praktisk tillämpning på svensk mark (se www.informationssäkerhet.se). Ramverket torde vara som en skänk från ovan för den som nu sätter spaden i jorden.
MSB, SAMFI och våra egna iakttaganden är, oavsett alla förutsättningar i övrigt, att den viktigaste förutsättningen för att lyckas i informationssäkerhetsarbetet är ett fullödigt engagemang från ledningen. Saknas det, då kommer resultatet att bli hopplöst långt från det önskvärda.
Med en någorlunda engagerad ledning så leder informationssäkerhetsarbetet ofta vidare igenom ett inledande arbete med informationssäkerhetspolicy och tillhörande riktlinjer. Tidigt på agendan står också informationsklassning. Äntligen, äntligen, äntligen skall den som har i uppgift att klä ett system i rätt skyddsskrud också få vetskap om vilken karaktäristik systemet har i form av konfidentialitet, riktighet och tillgänglighet. Denna vetskap är guld värd, men vad säger den egentligen. Här stannar tyvärr allt för många initiativ upp och uttrycket ”det bidde bara en tumme” gör sig påmint.
Vi har en allt för stark förkärlek till att i regler och riktlinjer bli så pass otydlig att den som har till uppgift att omsätta teori till praktik blir sin egen mästare i tolkningar snarare än i sin faktiska yrkesutövning. Eller är det så här vi önskar att klä det som är skyddsvärt? När någon väl konstaterar att kejsaren är naken så är tolkningsutrymmet så pass brett att ingen kan beskyllas för det inträffade då det sannerligen inte fanns några brister i varken ramverk eller tillämpning.
Det är mer än hög tid att det som sker på molnfri höjd har någon form av konkret beröring till det som sker mer jordnära. Det är först när ett ramverk kommer till praktisk nytta som det har ett berättigande. Finns det tvivel, stanna upp och tillse att ni vågar sätta ner foten vid varje besvärligt vägskäl istället för att klä era alster i svepande ordalag.
Ett informationssäkerhetsarbete skall göra skillnad. Gärna till det bättre!
Thomas Nilsson
