Det har troligen aldrig varit mer relevant än idag att arbeta på ett strukturerat sätt (i.e. implementera ett ISMS – Information Security Management System) för att identifiera värden och risker, proaktivt skydda, aktivt upptäcka/avvärja och, om olyckan varit framme, återställa system efter ett intrång eller en attack så att verksamheten kan återgå till det normala så snart som möjligt.
Med det sagt; det korta svaret på frågan i rubriken ovan är att ALLA är ansvariga för att upprätthålla sin del av säkerhetsåtagandet. Den mänskliga faktorn är viktig. Cyber security består av en kombination av teknik, processer och kontroller. Nyckelelementet är den mänskliga faktorn. Om vi som organisation saknar medvetenhet om komplexiteten och riskerna vi är utsatta för, kan det (och ofta är) det den faktorn som möjliggör cyber-attacker – oavsett vilka tekniska lösningar som är implementerade för att undvika desamma.
Ledningen är ansvarig för organisationens totala säkerhetsåtagande, inkl. leverantörer och partners. Ledningen definierar scope eller omfattning för säkerhetsarbetet, roller, ansvar och mandat samt är ansvarig för att budgetera för nödvändiga investeringar i cyber security. Genom implementation av kontroll-funktioner kan ledningen säkerställa den insikt som krävs för att besluta om etablering och underhåll av lösningar för att bibehålla den fastställda acceptabla risk-nivån.
Användare är ansvariga för att ta del av utbildningsprogram och att förstå och följa de regler och procedurer som fastställts inom organisationen. Användare skall också känna till hur man identifierar och avvärjer potentiella attacker samt hur och till vem man rapporterar incidenter eller misstänkta händelser.
Teknisk personal är ansvariga för att säkerställa att organisationen har implementerat en säker teknisk arkitektur i enlighet med fastställd risk-nivå. IT-personalen måste således översätta affärsmål, processer, regler och policies till tekniska implementationer. Teknisk personal är också ansvariga för övervakning av den dagliga verksamheten samt för hantering av förändringar i den tekniska miljön på ett ur säkerhetsperspektiv betryggande sätt.
Om din organisation inte satt upp regler och roller för hantering av informationssäkerhet – då är det definitivt dags! Det är inte IT-avdelningen som allena är ansvariga. Om det är oklart var man skall börja så är ett tips är att starta ”top-down”. Formulera scope och etablera roller med både tid och kompetens att hantera organisationens ambitioner beträffande informationssäkerhet. Säkerhetsarbetet skall struktureras i ett ”Information Security Management System” (ISMS) för att säkerställa effektivitet och att beslut bygger på värdebaserad riskanalys så att prioriterade säkerhetsåtgärder bäst stödjer verksamhetens mål.
Behöver du hjälp? – kontakta oss så hjälper vi dig att komma igång.
Läs mer om Cyber Security Assessment >