Incitamenten att införa ett LIS har aldrig varit större än nu

Det finns för organisationer flera skäl att införa ett systematiskt informationssäkerhetsarbete i form av ett ledningssystem för informationssäkerhet (LIS) enligt standarden ISO/IEC 27001. För det första kräver en alltmer osäker och föränderlig omvärld ett systematiskt arbetssätt som anpassar skyddet över tid, för det andra ser vi fler regleringar som ställer krav på att organisationer ska ha ett LIS, och för det tredje ökar sannolikheten att den egna organisationen får krav på sig från exempelvis kunder i takt med att fler organisationer börjar tillämpa standarden.

Vi bevittnar en oroväckande utveckling i samhället med en säkerhetspolitisk osäker omvärld, terroristhot och organiserad brottslighet. För samtliga är cyberrymden är en viktig arena. Cyberattacker mot kommuner, statliga myndigheter och företag inklusive IT-leverantörer utförs ständigt, varav endast vissa exponeras i media och synliggör den sårbarhet som finns i enskilda organisationer och i samhället som helhet.

Sveriges öppna samhälle med hög grad av digitalisering i kombination med att vi på senare tid blivit en tydligare måltavla för flera typer av aktörer har skärpt hotbilden. Antagonisterna blir alltmer kraftfulla och organiserade, oavsett om de kan räknas till statsunderstödda aktörer, terrorister eller organiserad brottslighet. Enorma resurser läggs på detta och angreppsmetoderna förändras ständigt. Tjänster, verktyg och kompetens för att genomföra cyberattacker har blivit en handelsvara.

Behovet av ett systematiskt arbetssätt
Detta ställer krav på att organisationer har ett dynamiskt arbete med informationssäkerhet och cybersäkerhet där säkerhetsåtgärder kontinuerligt är anpassade till utvecklingen. Det krävs en operativ hantering av hot och sårbarheter, men det krävs också att organisationens arbete med informationssäkerhet och cybersäkerhet bedrivs systematiskt och riskbaserat i sin helhet. Informationssäkerhet är – i högre grad än någonsin – en ledningsfråga som ska ta sin utgångspunkt i ledningens mål och strategier och inte vara avhängigt enskilda medarbetares initiativ.

Ett ledningssystem för informationssäkerhet (LIS) i enlighet med ISO/IEC 27001 innebär ett systematiskt och riskdrivet arbete med informationssäkerhet som tar sin utgångspunkt i organisationens intressenter, andra faktorer i omvärlden samt den egna organisationens förutsättningar. Informationssäkerhet har inget egenvärde utan ska leda till nytta för organisationen. I ett LIS utgår därför organisationens informationssäkerhetsarbete från ledningens viljeinriktning – det är denna som ytterst är ansvarig för organisationens informationssäkerhet och relaterade risker och anger målen för organisationen på lång och kort sikt vilka regelbundet stäms av i ledningens genomgång. Vidare är det ledningen som legitimerar frågorna och sätter dem på agendan, allokerar tillräckligt med resurser och ger förutsättning för att informationssäkerheten kan integreras i organisationens styrprocesser, verksamhets- och budgetplanering.

Ett LIS ska leda till en ständig förbättring av organisationens informationssäkerhet och anpassning till omvärldens krav och förväntningar samt hot och risker. En välfungerande och effektiv riskhantering är avgörande för att vi ska kunna ha en lämplig skyddsnivå över tid. Ett LIS ger också möjlighet att löpande identifiera externa krav såsom kundkrav och författningskrav, vilket leder oss till nästa skäl.

Ökade krav på ledningssystem för informationssäkerhet
Samhällets svar på utvecklingen är att genom författningar öka kraven på organisationers informations- och cybersäkerhet. Det sker på EU-nivå, nationsnivå och sektorsnivå. Många författningar har gemensamt att de, snarare än att ställa krav på specifika säkerhetsåtgärder, ställer krav på att organisationer ska ha ett LIS. I föreskrifter och allmänna råd nämns inte sällan standarderna ISO/IEC 27001 och ISO/IEC 27002 som exempelvis i MSB:s föreskrifter för statliga myndigheter (MSBFS 2020:6), Socialstyrelsens föreskrifter (HSLF-FS 2016:40), Finansinspektionens föreskrifter (FFFS 2014:5) samt MSB:s föreskrifter inom ramen för NIS-regleringen (MSBFS 2018:8).

I och med NIS2 så kommer krav på systematiskt och riskbaserat informationssäkerhetsarbete att omfatta betydligt fler organisationer eftersom antalet sektorer utökas, inte minst gäller detta alla kommuner som tidigare omfattats endast partiellt av NIS. I den föreslagna cybersäkerhetslagen kommer kraven även att gälla för hela organisationen och inte bara för de verksamheter och system som behövs för leverans av en samhällsviktig tjänst.

Även DORA-förordningen som gäller för aktörer inom den finansiella sektorn ställer krav på ett systematiskt och riskbaserat arbete med informationssäkerhet.

Indirekta och kommande krav
Kraven påverkar flera organisationer än de som direkt omfattas av författningskrav. När organisationer inför ett LIS ger det ringar på vattnet, inte minst i form av leverantörskrav. Det uppkommer i vissa sektorer och branscher en konkurrenssituation där det kan vara mer eller mindre nödvändigt att kunna uppvisa ett ISO/IEC 27001-certifikat. Bland annat av den anledningen har antalet certifieringar mot ISO/IEC 27001 ökat kraftigt under senare år. I Sverige fanns 193 certifikat år 2022 jämfört med 61 certifikat år 2015 (The ISO Survey, iso.org).

I takt med att tillämpningen av ISO/IEC 27001 ökar i samhället så ökar också incitamenten att införa LIS för de organisationer som ännu inte gjort det. Även om den egna organisationen inte har krav på sig idag är det troligt att kraven kommer att komma, från kunder, affärspartner, lagstiftare eller utfärdare av föreskrifter.

Det finns också generella fördelar med att tillämpa etablerade ledningssystemsstandarder som har en gemensam terminologi och ett enhetligt arbetssätt. Det underlättar exempelvis kravställning vid upphandling av leverantörer och konsulter, rekrytering av personal samt transparens vid revisioner.

Organisationernas utmaningar
Att införa och förvalta ett LIS kräver personella resurser med rätt kompetens, vilket nog utgör den största utmaningen för de flesta organisationer. Det är just därför ett LIS måste ta sin utgångspunkt i ledningens viljeinriktning och de strategiska målen med informationssäkerhet. Vilka risker är man beredd att ta, och vilka risker är man inte beredd att ta? Hur kan man över tid ha kontroll på vilka risker man utsätts för? Kostnaderna för att arbeta systematiskt med dessa frågor måste alltid ställas mot vad det kostar att inte göra det. Intresset och förståelsen hos beslutsfattare för dessa frågor har på grund av/tack vare uppmärksammade incidenter och ökade författningskrav generellt ökat under de senast åren.

Det räcker inte att ledningen har en uttalad viljeinriktning utan de måste visa handling, inte minst genom att avsätta tillräckligt med resurser så att riskerna kan reduceras till en acceptabel nivå. Allokering av resurser är uttalade krav i ISO/IEC 27001 (5.1 Ledarskap och åtagande samt 7.1 Resurser).

Det finns tyvärr en utbredd missuppfattning att ett LIS måste vara oerhört komplicerat, omfattande och dyrt, vilket enligt min mening inte måste vara fallet. Införandet av ett LIS är en investering som medför kostnader, men det medför också nyttor. De organisationer jag känner till som gjort en seriös kostnads-nyttoanalys inför ett LIS-införande, och i efterhand utvärderat analysen, har funnit att satsningen varit lönsam.

Även om resurser finns kan det vara svårt att hitta lämplig kompetens. Rekryteringsmöjligheter och tillgång på konsulter varierar mellan sektorer och branscher och även geografiskt, men generellt råder det i Sverige en stor brist på kompetens inom informationssäkerhet och cybersäkerhet, något som mina kollegor Richard Oehme, Olivia Mattsson och Abdullahi Ahmed nyligen har belyst i en rapport.

En av de stora utmaningarna med LIS är att börja med systematisk riskhantering, vilket är en väsentlig del i ett LIS enligt ISO/IEC 27001. Många organisationer arbetar med riskanalyser punktvis men har inte en systematik i arbetet där det finns utsedda riskägare som tar ansvar för att risker regelbundet identifieras, bedöms, behandlas och följs upp inom sitt ansvarsområde.

Nya versioner av ISO/IEC 27001 och ISO/IEC 27002
Under 2022 kom en version av ISO/IEC 27002. I min blogg från februari 2022 visade jag på de viktigaste skillnaderna mellan den nya ISO/IEC 27002 och den tidigare versionen från 2013. Detta fick till följd att även Bilaga A i ISO/IEC 27001 uppdaterades med den nya strukturen och en ny version av den standarden publicerades i oktober 2022.

Organisationer som arbetat utifrån den tidigare versionen av ISO/IEC 27001 behöver uppdatera sin Uttalande om tillämplighet (SoA) och sina riskbehandlingsplaner. För de som är certifierade mot ISO/IEC 27001 är övergångstiden satt till tre år vilket innebär att nuvarande certifikat måste övergå till den nya versionen före november 2025.

Behov av stöd
Sammanfattningsvis är incitamenten för organisationer att införa ett LIS större än någonsin tidigare: behovet av ett systematiskt arbetssätt i en osäker och föränderlig värld, ökade författningskrav samt att förbereda sig för morgondagens krav och fördelar att arbeta med etablerade standarder. Likväl finns utmaningar som nämnts ovan, inte minst i form av kompetens och resurser. Konsultföretag erbjuder såklart stöd och det finns även fritt stödmaterial hos vissa intresseorganisationer, branschorganisationer och myndigheter, som exempelvis MSB:s metodstöd för systematiskt informationssäkerhetsarbete på informationssäkerhet.se. Det finns flera utbildningar inom området, exempelvis SIS informationssäkerhets- och cybersäkerhetsakademi som har flera utbildningar.

Knowit Cybersecurity & Law kan stödja organisationer i alla delar och faser i arbetet att skapa, införa och förvalta ett LIS. Vi kan också stödja organisationer med det förberedande arbetet inför en certifiering och övergång till den nya versionen av ISO/IEC 27001.