För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg redogör våra medarbetare för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området. Förra gången berättade Sven Johnard, i bloggseriens tredje inlägg, bland annat om analys av sårbarheter kopplat till säkerhetsskyddsanalysen. Denna vecka har vi kommit till inlägg 4 i serien, där Sebastian Tham diskuterar effektiv prioritering av säkerhetsskyddsåtgärder. Mycket nöje!
I arbetet med att skapa ett systematiskt och välanpassat säkerhetsskydd inom en verksamhet läggs mycket fokus på säkerhetsskyddsanalysen. Detta är självklart rätt, analysen är grunden för allt fortsatt arbete, men man måste också vara försiktig att inte tappa drivet när det är dags för säkerhetsskyddsplanen. Det är planen som effektuerar allt hårt arbete i analysen. Ingen plan, inga åtgärder, inget säkerhetsskydd.
I planen tar vi fasta på de förslag som togs fram i analysens näst sista steg (sårbarhetsanalys och åtgärdsförslag) och undersöker vilka åtgärder som täcker våra behov. Kom ihåg att vi inte behöver skydda oss mer än nödvändigt. Ett överdimensionerat skydd betyder ofta inte att våra skyddsvärden skyddas bättre, det innebär däremot onödiga utgifter och kan få andra negativa effekter för verksamheten. Nästan alla verksamheter har begränsat med resurser vilket gör det avgörande att dessa nyttjas på bästa sätt. En frågeställning som alltid hjälper mig i denna fas är: hur får vi mest pang för pengarna? Vad ger mest uteffekt för minst pengar?
Vi bör heller inte stirra oss blinda på att alltid hantera det behov som ligger längst upp på ”att göra”-listan i vår analys. Självklart bör utgångsläget vara att åtgärda det största säkerhetsskyddsbehovet först, men det kanske inte finns tillräckliga resurser för det just nu. Innebär det att vi inte ska vidta några åtgärder alls tills vi kan hantera nummer 1 på listan? Absolut inte, vi åtgärdar så mycket vi kan med de resurser vi har att tillgå. Det kanske till och med är så att det totala säkerhetsskyddet ökar mer om vi hanterar behov 2–4 på listan i stället för att lägga alla pengar på nummer 1. Det viktiga är att det finns en plan för att åtgärda identifierade brister – och kom ihåg: stora investeringar (som säkerhetsskydd oftast är) kan i många fall innebära omfattande budgetering och en längre införandeplan för att de ska realiseras.
En annan stor utgift som lätt glöms bort när åtgärderna fastställs i planen är personalkostnaden kopplat till säkerhetsskyddsåtgärderna. Nya bevakningssystem kan lätt bli stora utgiftsposter, men de är till stor del engångskostnader. Systemens hård- och mjukvara behöver självklart uppdateras med jämna mellanrum, men det som definitivt kommer skapa kontinuerliga utgifter är den personal som ska administrera och hantera valda system och rutiner. Ska det vara egen personal eller kommer förmågan hyras in från externa leverantörer? Vad är mest kostnadseffektivt? Kan vi upprätthålla säkerhetsskyddet med vald metod?
Ytterligare något man måste ta hänsyn till vid val av åtgärd är införandetiden. Hur lång tid kommer en implementering av tänkt åtgärd att ta? Vilka konsekvenser får det för verksamheten och dess skydd? Vilka provisoriska säkerhetskyddsåtgärder måste vidta tills det nya skyddet är på plats? Vad kommer det att kosta verksamheten i form av utebliven uteffekt och andra följdkostnader?
När alla dessa variabler har hanterats måste vi sätta oss ner och börja prioritera. Vilka åtgärder ska införas när? Här tror jag det är viktigt att se till helheten. Vad är slutmålet och vilka delar måste vara på plats för att vi ska kunna ta nästa steg i säkerhetsskyddsarbetet? Något som alltid hjälper mig i denna fas är att skapa en tidslinjal som tydligt visar när vilken åtgärd ska vara implementerad och klar.
Om åtgärden är bunden till ett visst datum kan det vara hjälpsamt att börja från slutet, tänkt införandedatum, och jobba sig till nuläget. På så sätt inser man ganska snabbt vilka åtgärder som måste implementeras innan andra. Glöm heller inte att se om det finns några så kallade ”lågt hängande frukter”. Finns det åtgärder som är kostnadseffektiva och samtidigt får stor effekt för skyddet?
Som med allt annat som är värt att göra är det viktigt att tänka på hur åtgärdsplanen presenteras för beslutsfattarna inom verksamheten. Kanske är detta en självklarhet för många läsare, men det tåls att upprepas. Jag har sett bra och genomtänkta säkerhetsskyddsplaner bli ratade på grund av att planen inte presenterades på rätt sätt. Beslutsfattare som inte är fullt insatta i vikten av att investera för att skydda sina skyddsvärden kan vara svårövertalade och det kan, om åtgärderna inte presenteras på ett smart och begripligt sätt, skapa onödiga omvägar till ett starkt säkerhetsskydd. Undvik alltför många tekniska detaljer – fokusera på helheten och den reella effekten av tänkta åtgärder. Jag föredrar, när det är möjligt, att presentera några olika ”åtgärdspaket”. Till dessa paket förklaras vilka åtgärder som avses att implementeras samt vilka kostnader åtgärderna medför. Presentera även gärna vilket förslag du förespråkar och varför du förespråkar just det.
Som ett sista medskick vill jag påminna om att många av de absolut bästa åtgärderna för att öka säkerhetsskyddet är de som kostar minst. Om vi som arbetar med säkerhetsskydd kan få våra kollegor att alltid försöka ta säkerhetsmedvetna beslut i sin vardag så är redan halva slaget vunnet. Kan vi skapa en arbetsmiljö där våra kollegor vågar och vill berätta när något verkar fel eller känns osäkert har vi ökat skyddet minst lika mycket som med nya dyra dörrar, lås och kameror. Dessa åtgärder är oftast proaktiva i sin natur, vilket gör att vi med lite tur har hanterat ett potentiellt säkerhetshot innan det ens blev ett hot.
Sebastian Tham är specialist inom säkerhetsskydd med en lång bakgrund av säkerhetstjänst inom Försvarsmakten. Sebastian arbetar med att analysera verksamheters behov av säkerhetsskydd samt implementering av efterföljande säkerhetsskyddsåtgärder.
Fortsätt gärna följa vår bloggserie. I nästa inlägg kommer Victor Langåssve och Christel Manner fördjupa sig i säkerhetsskyddsklassificeringar. Du får också gärna ta kontakt med någon ur vårt säkerhetsskyddsteam om du vill prata mer om säkerhetsskydd. På Knowit är vi vana att arbeta med säkerhetsskydd, och våra specialister stöttar kunder i alla olika delar under regelverket – oavsett om det handlar om analyser, ledningssystem, juridiska bedömningar eller utformande och implementation av åtgärder.
Process för säkerhetsskyddsarbete