Efter att den nya säkerhetsskyddslagen trädde i kraft förra året har vi på CGI fått många frågor om hur man bör tänka kring säkerheten. Jana Thorén, CGI:s säkerhetsskyddschef, bjuder på sitt bästa recept för att få till de rätta proportionerna av säkerhetsskydd till sin verksamhet.
Säkerhetsskydd handlar om att skydda verksamheter som är av betydelse för Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra hot. För ett år sedan uppdaterades säkerhetsskyddslagstiftningen för att gälla för fler aktörer än bara myndigheter. När förändringen kom såg vi på CGI en stor ökning av säkerhetsskyddsavtal och registerkontroller. Vi började också få en signifikant ökning av frågor som gällde säkerhetsskyddsområdet.
Men för de flesta frågorna så kokar svaren egentligen ned till att få till den rätta mixen av bra säkerhetsskydd i sin verksamhet. Det är som med matlagning. Det gäller att blanda rätt proportioner av lagar, föreskrifter, vägledningar och andra viktiga ingredienser för att få till en riktigt pålitlig säkerhetsgryta. Här bjuder jag på mitt bästa recept:
Ingredienser
- Ett ledningssystem för informationssäkerhet, exempelvis 27001.
- Stöldskyddsföreningens regler gällande fysiskt skydd.
- En väl genomgången säkerhetsskyddsanalys.
- Processer som rör säkerhetsprövningar av medarbetare.
- En stor dos utbildning som blandas i kontinuerligt.
Tillredning
Basen i grytan är informationssäkerhet. Det går inte att komma undan: ledningssystemet och det grundläggande skyddet för informationen måste finnas där innan du över huvud taget kan börja tänka säkerhetsskydd. Har du inte koll på din organisations risker och bygger du inte en strukturerad grund kommer du inte heller att kunna skydda de säkerhetsklassade uppgifterna. Du behöver ha koll på vad du behöver vara orolig för, vem som ska göra vad, vem som fattar beslut om viktiga förbättringar, hur du mäter hur det går, vad du eller kanske någon annan ska göra om det sker en incident, och hur den ska rapporteras och hanteras. Här blandar vi också i de tekniska lösningarna som man i planeringsfasen identifierat.
När grytans bas är på plats är det dags att blanda i det fysiska skyddet, där Stöldskyddsföreningens regler är bra som riktmärken. Att förhindra att de som inte ska komma åt information inte gör det är en tung del i skyddet. Att på olika sätt låsa in servrar/system och fysiska handlingar är viktigt för att inte fel personer ska få tillgång till information.
Nu är det dags för att blanda i säkerhetsskyddsanalysen, där du ställer frågor som: vad är det egentligen som är säkerhetsskydd i min organisation och vilken hotbild finns? Allt hos en organisation är inte med automatik i behov av säkerhetsskydd och kräver heller inte den här högre nivån av skydd. Skulle vi låsa in alla fysiska handlingar ”bara utifall att” i ett 3492-säkerhetsskåp, skulle grytan få en tydlig smak av metall. Som alla goda maträtter är balansen viktig: rätt skydd för rätt objekt. Nu kan vi också blanda i den extra nivå av skydd som behövs för att skydda Sveriges säkerhet. Här slår jag ett slag för en skopa informationsklassning också om du inte redan blandat i det i basen informationssäkerhet.
Därefter kommer vi till personkontrollen – för att vår gryta ska bli smaklig får bara rätt personer vara med och laga grytan. Vi behöver kontrollera att medarbetarna är lojala och att de inte är sårbara. Det här gör man via bakgrundskontroller och intervjuer, så kallad säkerhetsprövning. Du behöver också tillföra utbildning gällande hotbilder, vad som är skyddsvärt och hur skyddet ska hanteras för respektive medarbetares ansvarsområden.
Slutligen behöver du kontrollera att alla ingredienserna finns på plats och att kontinuerligt tillföra utbildning för att hålla din säkerhetsskyddsgryta kokande.
Smaklig spis!
Jana Thorén, Säkerhetsskyddschef på CGI