Per Gustavsson er spesialist innenfor informasjonssikkerhet og jobber i dag som CISO i Stratsys. Han er også en populær foreleser på feltet og deltar vanligvis som ekspert i ulike interesseorganisasjoner, som ISACA. Med sin brede erfaring har Per en dyp forståelse av utfordringene som organisasjoner møter i dagens raskt skiftende samfunn hvor nye lover og regler raskt må implementeres i virksomheten.
I denne artikkelen gir Per verdifulle tips om hva organisasjoner bør vurdere når de skal velge verktøy for å styre informasjonssikkerhetsarbeidet.
Begrensninger ved regneark
– Regneark fungerer ofte godt for mindre arbeidsgrupper på opptil 3–5 personer, begynner Per. Men når flere personer skal involveres i arbeidet og ha tilgang til informasjonen, blir det fort vanskelig å administrere alle Excel-dokumentene. Regneark har sine mangler når det gjelder håndtering av sensitiv informasjon, hovedsakelig fordi det ikke finnes noen sporbarhet. Det er lett å ved et uhell slette eller endre data uten at det blir oppdaget.
Regneark, tekstbehandlere og presentasjonsapplikasjoner fungerer bra for bedrifter som nettopp har begynt med informasjonssikkerhet. Men om man har kommet et stykke lenger, har en høyere grad av modenhet og ønsker å ta arbeidet på alvor, er det på tide å investere i et dedikert verktøy. Regneark er et godt første skritt, men det er viktig å ikke sette seg fast der når arbeidet vokser, forklarer Per.
Ta kontroll over hvem som har tilgang til informasjonen
Så snart informasjonssikkerhetsarbeidet involverer mer enn et par personer, er det mer bærekraftig å bruke et digitalt verktøy som er utviklet for å organisere informasjonssikkerhet og databeskyttelsesarbeidet. På denne måten kan man sikre at det er tydelig sporbarhet på hvem som har endret hva og når.
– For å beskytte sensitiv informasjon er det også viktig med en strukturert håndtering av brukerrettigheter, sier Per. Det innebærer at man må ha kontroll over hvem som har tilgang til hvilken informasjon og hva de kan gjøre med den.
Et digitalt system som Stratsys har innebygde sikkerhetsfunksjoner som lar kun autoriserte brukere få tilgang til og endre data.
Støtte for konfidensialitet, nøyaktighet og tilgjengelighet
– Jeg pleier å si at et system for informasjonssikkerhet må støtte konfidensialitet, nøyaktighet og tilgjengelighet, fortsetter Per.
Konfidensialitet kan raskt bli truet når sensitiv informasjon deles med feil personer. I Excel blir det for eksempel umulig å få sporbarhet på hvem som har hatt tilgang til informasjonen. Det er litt for enkelt å legge ved en Excel-fil via e-post og sende den til hvem som helst. I et digitalt verktøy for informasjonssikkerhet kan du med fordel styre hvem som får tilgang til hvilken informasjon gjennom brukerrettigheter.
Nøyaktighet handler om å kunne se hvem som har oppdatert hva og vite at informasjonen er korrekt. I Excel, Powerpoint og Word kan mangel på sporbarhet lett påvirke nøyaktigheten.
Tilgjengelighet er basert på at arbeidet er tilgjengelig når du trenger det. Du skal kunne finne informasjonen uten at det tar unødvendig tid eller energi.
– I et dedikert system kan brukere logge seg på ett sted og finne all informasjonen de trenger der. Man trenger ikke lete etter for eksempel Excel-dokumenter på Sharepoint, i mapper på datamaskinen eller e-postlinker. Det er også mulig for CISO å motta varsler når informasjon har endret seg og holde styr på hele informasjonskjeden, hvilket er verdifullt.
Fordelene med best practice-løsninger og viktigheten av å skape et helhetsbilde
– En stor fordel med en digital løsning for informasjonssikkerhet er at de ofte er utformet etter best practice, mener Per. Stratsys sine produkter er for eksempel utviklet over 20 års tid, sammen med kunder og i samsvar med gjeldende industristandarder. I dag har Stratsys 500 kunder og 200 000 brukere som alle har bidratt til å bygge verktøyet etter best practice.
Per understreker også viktigheten av å skape et helhetsbilde over informasjonssikkerheten. Det handler ikke bare om tekniske løsninger, men også om prosesser og mennesker. Fokus på å lære opp ansatte og skape en kultur der sikkerhet prioriteres.
– Man må heller ikke glemme å kontinuerlig evaluere og forbedre informasjonssikkerhetsarbeidet, da trussellandskapet er i stadig endring, avslutter Per.