Informationssäkerhet är inte bara rätt papper på rätt plats – det är grunden för allt vi bygger

När ämnet informationssäkerhet kommer på tal, tänker många direkt på dokumenthantering. Men att reducera informationssäkerhet till en fråga om papper och regler är inte bara missvisande, det kan också leda till allvarliga risker. I en tid där digitala tjänster är kärnan i många verksamheter måste säkerhet byggas in från grunden, i varje kodrad, varje systemarkitektur och varje beslut. Den här texten reder ut varför informationssäkerhet är ett strategiskt ansvar som angår hela organisationen.

När säkerhet kommer på tal frågar de flesta: "Jobbar du med IT?" När svaret är informationssäkerhet, blir reaktionen ofta: "Jaha, så det handlar om dokumenthantering?"

Det är lätt att föreställa sig att informationssäkerhet bara handlar om policys, dokument och kontroller. Men den föreställningen är inte bara förlegad, den kan skapa onödiga risker. Informationssäkerhet är inte bara ett lager kontroller man lägger på i slutet. Den bör finnas i varje rad kod, varje systemarkitektur, varje databasmodell, varje API och varje tjänst som utvecklas och sätts i produktion.

Informationssäkerhet är ett riskbaserat arbetssätt och det handlar om att förstå hoten, riskerna och beroendena redan i designfasen. Informationssäkerhet handlar om att göra genomtänkta val som stärker informationens konfidentialitet, riktighet och tillgänglighet. Inte bara för att det står i en policy, utan för att konsekvenserna av att slarva kan bli förödande.

Bristande informationssäkerhet är inte bara att ett papper ligger fel, det kan vara att en rad kod är skriven på fel sätt och ger en sårbarhet. Du kan få ett intrång till följd av denna sårbarhet vilket kan leda till förlorade kunddata, driftstopp, bristande riktighet i kodbasen, manipulation av funktionalitet eller att en hel produkt måste dras tillbaka. Du kan sedan också förlora tillgängligheten, till exempel på grund av överbelastning till följd av en DDoS-attack från en antagonist eller en överbelastning till följd av att för många besöker en hemsida på en och samma gång (exempelvis när alla ska deklarera på samma gång). Felaktiga konfigureringar kan göra att personal inte kommer in i de egna systemen. Det finns oändligt med exempel, men oavsett anledning till bristande informationssäkerhet kan det för verksamheten betyda böter, avbrutna leveranser, missade intäkter och förlorat förtroende. För teamen som byggt lösningen betyder det sömnlösa nätter, stress och tid på att lappa och laga i stället för att utveckla nya produkter och tjänster.

Det krävs inte ens ett avancerat angrepp, det räcker med en felaktigt konfigurerad endpoint, slarvig hantering av en API-nyckel eller en produkt som släpps utan tillräcklig testning. Små missar som, i efterhand, får stora konsekvenser.

Det handlar inte heller bara om attacker, det handlar om andra incidenter som kan uppstå som exempelvis felaktiga åtkomstinställningar, bristande loggar, kod som sätts i produktionsmiljö utan kontroll eller när ingen kan svara på frågan “vad händer om systemet går ner?”. Informationssäkerhet handlar alltså inte bara om att hålla något konfidentiellt eller riktigt, det handlar också om tillgängligheten.

Även ISO-standarder som de flesta hänvisar till när de pratar informationssäkerhet innehåller hela kapitel rörande tekniska åtgärder, d.v.s. Inte bara rätt papper på rätt plats.

Informationssäkerheten behöver genomsyra hela organisationen, även backloggprioriteringar, sprintplanering, kodgranskningar, testmiljöer och releasebeslut. De organisationer som har kommit till denna slutsats bygger inte bara säkrare produkter, de etablerar en starkare motståndskraft, ger bättre förtroende och kommer kunna möta regulatoriska krav mer kostnadseffektivt. I stället för att lägga tid och pengar på krishantering och återställning kan de fokusera på innovation och förbättring.

Informationssäkerheten talar om att det behövs en brandvägg, att det behövs loggföring och att det ska vara “seperation-of-duties”, IT-säkerheten avgör vilken brandvägg, vilket program för loggar som ska användas och konfigurerar de olika användarrättigheterna.