Reportage

"Ät elefanten i bitar"

Allt behöver inte göras på en gång, säger Rose-Mharie Åhlfeldt som forskar om informationssäkerhet vid Högskolan i Skövde.

—Verktygen finns, våga börja att äta elefanten.

Från påverkansförsök av främmande makt till nyfiket skvaller om digitala sjukvårdsjournaler. Det är ingen tvekan om att mängder av information i landets offentliga verksamheter behöver bättre skydd, menar Rose-Mharie Åhlfeldt som är biträdande professor i informationsteknologi vid Högskolan i Skövde.

Och medan ”en svensk tiger” användes i forna tider för att påminna invånarna om att vara varsamma med känsliga uppgifter, använder Rose-Mharie en elefant för att beskriva hur omfattande det kan kännas att inleda ett informationssäkerhetsarbete.

—Det är mastigt och det är inte konstigt, allt vi gör i verksamheten är informationsrelaterat. Det är komplexa organisationer med mångfacetterad verksamhet, det är klart att det är mycket.

Men, lugnar hon, allt behöver inte göras på en gång. Börja, och bli bättre och bättre.

En ISO-certifiering är ett betydligt djupare informationssäkerhetsarbete, men Rose-Mharie Åhlfeldt rekommenderar det metodstöd som tagits fram i samarbete med MSB och som finns att hämta på www.informationssakerhet.se. Det lutar sig mot internationella standarder och kan tillämpas med varierad omfattning i olika verksamheter för att skapa ett systematiskt och praktiskt informationssäkerhetsarbete.

Metodstödet är uppbyggt som ett cirkeldiagram med fyra steg, där man inleder med att identifiera och analysera, för att fortsätta med utforma och använda för att sedan följa upp, och därefter starta ett nytt varv.

—Metodstödet är praktiskt, pedagogiskt och pragmatiskt. Man kan plocka ”gobitar” om man arbetat med frågan tidigare. Ni kanske redan är igång, vad bra, titta då efter vad ni behöver fylla på. Man måste gå ner i organisationen och se till att det passar där. Medvetenhet, förståelse och förankring — det är liksom grejen, säger Rose-Mharie Åhlfeldt. Fina dokument är inte det viktiga, utan jobbet i verksamheten.

—Börja med det som är mest skyddsvärt, ät elefanten i bitar, tipsar Hans Hedbom som forskar om informationssäkerhet vid Karlstad universitet.

—Det är ingen quick fix och det är ingen it-fråga. Det är verksamheten som måste fatta och förstå. Jag har sett företag med ingen dokumentation kring säkerhet och där det enbart är två personer som kan hela brandväggssystemet. Efter ett år eller två ser man att det blir lättare och ett väl infört ledningssystem står väl upp mot GDPR-kraven vad gäller informationssäkerhetsarbetet. Efter införandet av den uppmärksammade EU-regeln, Dataskyddsförordningen, i våras är det nu dags för nästa skärpning av informationssäkerhet, nämligen NIS som ställer krav på säkerhet i nätverk och informationssystem och omfattar leverantörer av samhällsviktiga tjänster.

—Uppmärksamheten kring GDPR har ökat medvetenheten om informationssäkerhet menar Rose-Mharie Åhlfeldt, och det finns en stigande acceptans och insikt om att det här är viktigt.

—Sök upp andra som arbetar med frågan och bilda nätverk. Våga börja äta elefanten!